有数百万篇文章和问题与此问题有关,但我找不到我的代码有什么问题。我有Startup、StartupProduction和StartupDevelopment如下。此外,我正在使用ASP.Net Core 5,根据文档,我认为我这样做是正确的。
仅供参考,一开始,我使用AllowAnyOrigin进行开发,但我也测试了.WithOrigins("http://localhost:3000"),它运行良好。我的后端在开发中在https://localhost:44353下运行,在生产中在https://api.example.com下运行。
public class Startup
{
protected const string CorsPolicyName = "CorsPolicyName";
public virtual void ConfigureServices(IServiceCollection services)
{
services.AddControllers()
.AddJsonOptions(options =>
{
options.JsonSerializerOptions.Converters.Add(
new System.Text.Json.Serialization.JsonStringEnumConverter());
});
services.AddABunchOfOtherServices();
}
public virtual void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseRouting();
app.UseCors(CorsPolicyName);
app.UseAuthentication();
app.UseAuthorization();
app.UseMiddleware<CheckUserConfirmedMiddleware>();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllerRoute
(
name: "default",
pattern: "{controller=Home}/{action=Index}/{id?}"
)
.RequireCors(CorsPolicyName);
});
}
}
public class StartupProduction : Startup
{
public override void ConfigureServices(IServiceCollection services)
{
services.AddCors(options =>
{
options.AddPolicy(
CorsPolicyName,
policy => policy
.WithOrigins("https://example.com", "http://example.com")
//.WithOrigins(Configuration.GetValue<string>("AllowedHosts").Split(';').ToArray())
.AllowAnyMethod()
.AllowAnyHeader());
});
base.ConfigureServices(services);
}
public override void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseMiddleware(typeof(ErrorHandlingMiddleware));
// The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
app.UseHsts();
base.Configure(app, env);
}
}
public class StartupDevelopment : Startup
{
public override void ConfigureServices(IServiceCollection services)
{
services.AddCors(options =>
options.AddPolicy(
CorsPolicyName,
policy =>
policy
//.AllowAnyOrigin()
.WithOrigins("http://localhost:3000")
.AllowAnyMethod()
.AllowAnyHeader()
)
);
base.ConfigureServices(services);
services.AddSwaggerGen(....);
}
public override void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseMiddleware<DevelopmentErrorHandlingMiddleware>();
base.Configure(app, env);
app.UseSwagger();
app.UseSwaggerUI(options =>
{
options.SwaggerEndpoint("swagger/v1/swagger.json", "API v1");
options.RoutePrefix = string.Empty;
});
}
}
我还尝试了默认策略。
更新
我已经在visual studio中将Environment设置为Production进行调试,现在我在开发中也面临同样的问题。
在'获取的访问权限https://localhost:44353/api/v1/User'来自原点'http://localhost:3000'已被CORS策略阻止:对飞行前请求的响应未通过访问控制检查:请求的资源上不存在"access control Allow Origin"标头。如果不透明响应满足您的需求,请将请求的模式设置为"无cors",以在禁用cors的情况下获取资源。
变通解决方案
我注意到是IIS阻止了请求。只有当我的appsettings.json中有"AllowedHosts": "*",时,它才有效。因此,作为一种变通方法,我在appsettings.json中添加了"MyRandomKey": "https://example.com",,并在Startup中使用以下内容。
services.AddCors(options =>
options.AddPolicy(
CorsPolicyName,
policy =>
policy
.WithOrigins(Configuration.GetValue<string>("MyRandomKey").Split(";").ToArray())
.AllowAnyMethod()
.AllowAnyHeader()
)
);
AllowedHosts用于主机筛选,因此即使您在应用程序中配置了CORS策略但不允许主机,IIS也会拒绝该请求。
请参阅此链接:appsettings.json中的AllowedHosts与.NET Core API 3.x 中的UseCors之间的差异
默认情况下是*,但您可以根据自己的要求将其更改为。在您的情况下,您可以设置";api.example.com";或者如果您希望也允许来自localhost,那么";api.example.com;localhost";。设置后,IIS将开始接受来自这些域的请求。
一旦IIS开始接受请求,您的应用程序级别配置的CORS策略就会应用并工作。因此,CORS基本上是允许访问WebAPI中的资源。
从这份关于CORS飞行前请求的文档中,您可以找到以下信息:
CORS飞行前请求用于确定服务器是否将请求的资源设置为跨源共享。OPTIONS请求始终是匿名的,如果未启用匿名身份验证,服务器将不会正确响应飞行前请求
在'获取的访问权限https://localhost:44353/api/v1/User'来自原点'http://localhost:3000'已被CORS策略阻止:对的响应飞行前请求未通过访问控制检查:否请求的上存在"Access Control Allow Origin"标头资源如果不透明的响应符合您的需求,请设置请求的模式设置为"no cors"以在禁用cors的情况下获取资源。
要解决上述问题,如果您在本地运行应用程序以使用CORS进行测试,您可以尝试启用匿名身份验证。
此外,如果您的应用程序托管在IIS上,您可以尝试安装IIS CORS模块并为应用程序配置CORS。
我认为这是可以的,而且,您可以从DB或JSON文件中获取来源。而且您可以使用ActionFilterAttribute和这部分代码
var csp = "default-src 'self' http://localhost:3000; object-src 'none'; frame-ancestors 'none'; sandbox allow-forms allow-same-origin allow-scripts; base-uri 'self';";
if (!context.HttpContext.Response.Headers.ContainsKey("Content-Security-Policy"))
{
context.HttpContext.Response.Headers.Add("Content-Security-Policy", csp);
}
if (!context.HttpContext.Response.Headers.ContainsKey("X-Content-Security-Policy"))
{
context.HttpContext.Response.Headers.Add("X-Content-Security-Policy", csp);
}