在 ASP.Net Core 5 WebAPI 中启用 CORS
[英]Enable CORS in ASP.Net Core 5 WebAPI
问题描述
有数百万篇与此问题相关的文章和问题,但我找不到我的代码有什么问题。 我有Startup 、 StartupProduction和StartupDevelopment ,如下所示。 另外,我正在使用ASP.Net Core 5 ,并且根据文档,我认为我这样做是正确的。
仅供参考,起初,我使用AllowAnyOrigin进行开发,但我也测试.WithOrigins("http://localhost:3000")并且它工作正常。 我的后端在开发中在https://localhost:44353下运行,在生产中在https://api.example.com下运行。
public class Startup
{
protected const string CorsPolicyName = "CorsPolicyName";
public virtual void ConfigureServices(IServiceCollection services)
{
services.AddControllers()
.AddJsonOptions(options =>
{
options.JsonSerializerOptions.Converters.Add(
new System.Text.Json.Serialization.JsonStringEnumConverter());
});
services.AddABunchOfOtherServices();
}
public virtual void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseRouting();
app.UseCors(CorsPolicyName);
app.UseAuthentication();
app.UseAuthorization();
app.UseMiddleware<CheckUserConfirmedMiddleware>();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllerRoute
(
name: "default",
pattern: "{controller=Home}/{action=Index}/{id?}"
)
.RequireCors(CorsPolicyName);
});
}
}
public class StartupProduction : Startup
{
public override void ConfigureServices(IServiceCollection services)
{
services.AddCors(options =>
{
options.AddPolicy(
CorsPolicyName,
policy => policy
.WithOrigins("https://example.com", "http://example.com")
//.WithOrigins(Configuration.GetValue<string>("AllowedHosts").Split(';').ToArray())
.AllowAnyMethod()
.AllowAnyHeader());
});
base.ConfigureServices(services);
}
public override void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseMiddleware(typeof(ErrorHandlingMiddleware));
// The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
app.UseHsts();
base.Configure(app, env);
}
}
public class StartupDevelopment : Startup
{
public override void ConfigureServices(IServiceCollection services)
{
services.AddCors(options =>
options.AddPolicy(
CorsPolicyName,
policy =>
policy
//.AllowAnyOrigin()
.WithOrigins("http://localhost:3000")
.AllowAnyMethod()
.AllowAnyHeader()
)
);
base.ConfigureServices(services);
services.AddSwaggerGen(....);
}
public override void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseMiddleware<DevelopmentErrorHandlingMiddleware>();
base.Configure(app, env);
app.UseSwagger();
app.UseSwaggerUI(options =>
{
options.SwaggerEndpoint("swagger/v1/swagger.json", "API v1");
options.RoutePrefix = string.Empty;
});
}
}
我还尝试了默认策略。
更新
我已在 Visual Studio 中将Environment设置为Production以对其进行调试,现在我在开发中面临同样的问题。
CORS 策略已阻止从源“http://localhost:3000”获取“https://localhost:44353/api/v1/User”的访问权限:对预检请求的响应未通过访问控制检查:否'Access-Control-Allow-Origin' header 存在于请求的资源上。 如果不透明的响应满足您的需求,请将请求的模式设置为“no-cors”以获取禁用 CORS 的资源。
解决方法
我注意到是 IIS 阻止了请求。 它仅在我的 appsettings.json 中有"AllowedHosts": "*", appsettings.json 。 因此,作为一种解决方法,我在我的 appsettings.json 中添加了“ appsettings.json "MyRandomKey": "https://example.com",并在我的Startup中使用以下内容。
services.AddCors(options =>
options.AddPolicy(
CorsPolicyName,
policy =>
policy
.WithOrigins(Configuration.GetValue<string>("MyRandomKey").Split(";").ToArray())
.AllowAnyMethod()
.AllowAnyHeader()
)
);
3 个解决方案
解决方案1
2 2021-05-05 12:44:23
AllowedHosts 和 CORS 是不同的。
AllowedHosts 用于主机过滤,因此即使您在应用程序中配置了 CORS 策略但不允许主机,IIS 也会拒绝该请求。
请参考此链接: Difference between AllowedHosts in appsettings.json and UseCors in .NET Core API 3.x
默认情况下它是 * 但您可以根据您的要求将其更改为。 在您的情况下,您可以设置“api.example.com”,或者如果您也想从 localhost 允许,那么“api.example.com;localhost”。 一旦你设置了它,那么 IIS 将开始接受来自这些域的请求。
一旦 IIS 将开始接受请求,那么您的应用程序级别配置的 CORS 策略将被应用并工作。 所以基本上 CORS 是允许访问 WebAPI 中的资源。
解决方案2
0 2021-01-03 11:30:22
我认为没关系,而且,您可以从 DB 或 JSON 文件中获取来源。 此外,您可以使用 ActionFilterAttribute 和这部分代码
var csp = "default-src 'self' http://localhost:3000; object-src 'none'; frame-ancestors 'none'; sandbox allow-forms allow-same-origin allow-scripts; base-uri 'self';";
if (!context.HttpContext.Response.Headers.ContainsKey("Content-Security-Policy"))
{
context.HttpContext.Response.Headers.Add("Content-Security-Policy", csp);
}
if (!context.HttpContext.Response.Headers.ContainsKey("X-Content-Security-Policy"))
{
context.HttpContext.Response.Headers.Add("X-Content-Security-Policy", csp);
}
解决方案3
0 2021-01-04 02:12:08
从这个关于 CORS 预检请求的文档中,您可以找到以下信息:
CORS 预检请求用于确定所请求的资源是否设置为由服务器跨源共享。 并且 OPTIONS 请求始终是匿名的,如果未启用匿名身份验证,服务器将无法正确响应预检请求。
CORS 策略已阻止从源“http://localhost:3000”获取“https://localhost:44353/api/v1/User”的访问权限:对预检请求的响应未通过访问控制检查:否'Access-Control-Allow-Origin' header 存在于请求的资源上。 如果不透明的响应满足您的需求,请将请求的模式设置为“no-cors”以获取禁用 CORS 的资源。
要解决上述问题,如果您使用 CORS 在本地运行应用程序以进行测试,您可以尝试启用匿名身份验证。
此外,如果您的应用程序托管在 IIS 上,您可以尝试安装IIS CORS 模块并为应用程序配置 Z5A8ZFF0B76024BDEB3EEC9D924。
仅当在 IIS 中发布时,在 ASP.net Core 3.1 WebAPI 中启用 CORS 时出错
[英]Error on Enable CORS in ASP.net Core 3.1 WebAPI in only when published in IIS
如何在 ASP.net Core WebAPI 中使用默认和自己的策略启用 CORS
[英]How to enable CORS in ASP.net Core WebAPI with deafult and own policy
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何在 ASP.net Core WebAPI 中启用 CORS
如何在 Asp.Net Core 3.0 WebAPI 中启用 CORS
Asp.Net核心WebAPI CORS无法正常工作
如何在我的ASP.NET核心WebApi项目中全局启用CORS
仅当在 IIS 中发布时,在 ASP.net Core 3.1 WebAPI 中启用 CORS 时出错
如何在 ASP.net Core WebAPI 中使用默认和自己的策略启用 CORS
如何在 ASP.NET Core 中启用 CORS
Blazor 无法连接到 ASP.NET Core WebApi (CORS)
如何在ASP.NET Web API核心中全局启用CORS
ASP.NET Core WebApi
相关标签