【发布时间】:2022-12-17 12:58:40
【问题描述】:
当我想添加 Cors 时,有 2 个选项。 Host和Origin。
它们之间有什么区别?
builder.Services.AddCors(options =>
{
options.AddPolicy("AllowOrigin", builder =>
{
builder
.AllowAnyMethod()
.AllowAnyHeader()
.SetIsOriginAllowed(origin => true)
.AllowCredentials();
//or
builder
.AllowAnyMethod()
.AllowAnyHeader()
.SetIsOriginAllowed((host) => true)
.AllowCredentials();
});
});
【问题讨论】:
-
参数名称 :) 这在功能上没有区别。
-
.SetIsOriginAllowed(origin => true).AllowCredentials()不安全!本质上,您是在将同源策略扔到窗外:您允许任何 Web 源强制执行经过身份验证的请求并读取其响应。相反,您应该将允许的来源集限制在最低限度。
标签: c# asp.net-core cors builder