2

有数百万篇与此问题相关的文章和问题,但我找不到我的代码有什么问题。我有Startup, StartupProduction, 和StartupDevelopment如下。另外,我正在使用ASP.Net Core 5,并且根据文档,我认为我这样做是正确的。

仅供参考,起初,我用于AllowAnyOrigin开发,但我也进行了测试.WithOrigins("http://localhost:3000"),它工作正常。我的后端https://localhost:44353在开发和https://api.example.com生产中运行。

public class Startup
{
    protected const string CorsPolicyName = "CorsPolicyName";

    public virtual void ConfigureServices(IServiceCollection services)
    {
        services.AddControllers()
            .AddJsonOptions(options =>
            {
                options.JsonSerializerOptions.Converters.Add(
                    new System.Text.Json.Serialization.JsonStringEnumConverter());
            });

        services.AddABunchOfOtherServices();
    }

    public virtual void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        app.UseHttpsRedirection();
        app.UseStaticFiles();
        app.UseRouting();
        app.UseCors(CorsPolicyName);
        app.UseAuthentication();
        app.UseAuthorization();

        app.UseMiddleware<CheckUserConfirmedMiddleware>();

        app.UseEndpoints(endpoints =>
        {
            endpoints.MapControllerRoute
            (
                name: "default",
                pattern: "{controller=Home}/{action=Index}/{id?}"
            )
            .RequireCors(CorsPolicyName);
        });
    }
}

public class StartupProduction : Startup
{
    public override void ConfigureServices(IServiceCollection services)
    {
        services.AddCors(options =>
        {
            options.AddPolicy(
                CorsPolicyName,
                policy => policy
                    .WithOrigins("https://example.com", "http://example.com")
                    //.WithOrigins(Configuration.GetValue<string>("AllowedHosts").Split(';').ToArray())
                    .AllowAnyMethod()
                    .AllowAnyHeader());
        });

        base.ConfigureServices(services);
    }

    public override void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        app.UseMiddleware(typeof(ErrorHandlingMiddleware));

        // The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
        app.UseHsts();

        base.Configure(app, env);
    }
}

public class StartupDevelopment : Startup
{
    public override void ConfigureServices(IServiceCollection services)
    {
        services.AddCors(options =>
            options.AddPolicy(
                CorsPolicyName,
                policy =>
                    policy
                        //.AllowAnyOrigin()
                        .WithOrigins("http://localhost:3000")
                        .AllowAnyMethod()
                        .AllowAnyHeader()
            )
        );

        base.ConfigureServices(services);

        services.AddSwaggerGen(....);
    }

    public override void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        app.UseMiddleware<DevelopmentErrorHandlingMiddleware>();

        base.Configure(app, env);

        app.UseSwagger();

        app.UseSwaggerUI(options =>
        {
            options.SwaggerEndpoint("swagger/v1/swagger.json", "API v1");
            options.RoutePrefix = string.Empty;
        });
    }
}

我还尝试了默认策略

更新

我已经在 Visual Studio 中设置EnvironmentProduction调试它,现在我在开发中面临同样的问题。

CORS 策略阻止了从源“http://localhost:3000”获取“https://localhost:44353/api/v1/User”的访问权限:对预检请求的响应未通过访问控制检查:否请求的资源上存在“Access-Control-Allow-Origin”标头。如果不透明的响应满足您的需求,请将请求的模式设置为“no-cors”以获取禁用 CORS 的资源。

解决方法

我注意到是 IIS 阻止了请求。它仅"AllowedHosts": "*",在我的appsettings.json. 因此,作为一种解决方法,我"MyRandomKey": "https://example.com",appsettings.json我的Startup.

services.AddCors(options =>
                options.AddPolicy(
                    CorsPolicyName,
                    policy =>
                        policy
                            .WithOrigins(Configuration.GetValue<string>("MyRandomKey").Split(";").ToArray())
                            .AllowAnyMethod()
                            .AllowAnyHeader()
                )
            );
4

3 回答 3

2

AllowedHosts 和 CORS 是不同的。

AllowedHosts 用于主机过滤,因此即使您在应用程序中配置了 CORS 策略但不允许主机,IIS 也会拒绝该请求。

请参考此链接: appsettings.json 中的 AllowedHosts 和 .NET Core API 3.x 中的 UseCors 之间的区别

默认情况下它是 * 但您可以根据您的要求将其更改为。在您的情况下,您可以设置“api.example.com”,或者如果您还想从 localhost 允许,则可以设置“api.example.com;localhost”。设置后,IIS 将开始接受来自这些域的请求。

一旦 IIS 开始接受请求,您的应用程序级别配置的 CORS 策略将被应用并工作。所以基本上 CORS 是允许访问 WebAPI 中的资源。

于 2021-05-05T12:44:23.707 回答
1

这个关于 CORS preflight request 的文档中,您可以找到以下信息:

CORS 预检请求用于确定所请求的资源是否设置为由服务器跨源共享。并且 OPTIONS 请求始终是匿名的,如果未启用匿名身份验证,服务器将无法正确响应预检请求。

CORS 策略阻止了从源“http://localhost:3000”获取“https://localhost:44353/api/v1/User”的访问权限:对预检请求的响应未通过访问控制检查:否请求的资源上存在“Access-Control-Allow-Origin”标头。如果不透明的响应满足您的需求,请将请求的模式设置为“no-cors”以获取禁用 CORS 的资源。

要解决上述问题,如果您在本地运行应用程序以使用 CORS 进行测试,您可以尝试启用匿名身份验证。

此外,如果您的应用程序托管在 IIS 上,您可以尝试安装IIS CORS 模块并为应用程序配置 CORS。

于 2021-01-04T02:12:08.627 回答
0

我认为没关系,而且,您可以从 DB 或 JSON 文件中获取来源。此外,您可以使用 ActionFilterAttribute 和这部分代码

    var csp = "default-src 'self' http://localhost:3000; object-src 'none'; frame-ancestors 'none'; sandbox allow-forms allow-same-origin allow-scripts; base-uri 'self';";

if (!context.HttpContext.Response.Headers.ContainsKey("Content-Security-Policy"))
{
    context.HttpContext.Response.Headers.Add("Content-Security-Policy", csp);
}

if (!context.HttpContext.Response.Headers.ContainsKey("X-Content-Security-Policy"))
{
    context.HttpContext.Response.Headers.Add("X-Content-Security-Policy", csp);
}
于 2021-01-03T11:30:22.800 回答