.NET Core 上的 CORS 出现意外行为

Question

我已将以下内容添加到我的服务配置中。

services.AddCors(options 
    => options.AddDefaultPolicy(builder 
        => builder
            //.AllowAnyHeader()
            .WithHeaders("header-that-nobody-knows")
            .WithOrigins("http://localhost:44304")));

我的期望是调用会反弹（因为我没有将 header-that-nobody-knows 添加到我的标题中）。但是，执行请求时就像设置了AllowAnyHeader()。

在WithOrigins() 中操作端口、域或协议会产生预期的结果，因此配置似乎已正确连接。我怀疑这是一种特殊情况，因为在涉及 GET 和 POST 时，WithMetod() 出现意外行为（而其他方法被阻止/允许取决于参数通过）。

检查 MSDN 并没有给出任何解释。

我怀疑它是否重要，但为了完整起见，这里是调用调用的 Angular 代码。

let url = "https://localhost:44301/security/corstest?input=blobb";
this.http.get<any>(url).subscribe(
  next => console.log("next", next),
  err => console.warn("err", err));

动作方法如下所示。

[HttpGet("corstest")]
public IActionResult CorsTest([FromQuery] string input)
{
    return Ok(new { data = input + " indeed..." });
}

Answer 1

当您尝试向带有“非标准”标头的跨域 URL 发送请求时， 浏览器将使用包含非标准标头的 Access-Control-Request-Headers 标头执行预检 OPTIONS 请求。

OPTIONS /corstest

Access-Control-Request-Method: GET
Access-Control-Request-Headers: header-that-nobody-knows
Origin: https://my.api

ASP.NET Core 检查此值并检查 CORS 策略是否具有 AllowAnyHeader 或是否明确允许使用 .WithHeaders，如果没有，它将发出非 200 响应并且浏览器将拒绝发送实际请求。

因此，不将header-that-nobody-knows 添加到请求标头并不意味着 ASP.NET Core 将拒绝为请求提供服务，这意味着如果您在跨域请求中设置 header-that-nobody-knows 标头，它将 允许它而不是发出非 200 响应（假设您使用 WithHeaders 或 AllowAllHeaders 允许它）

简而言之：

• 您必须至少允许一些/所有来源 + 一些/所有标头才能使 CORS 策略生效。
• 浏览器期望预检请求中的Access-Control-Allow-Headers 和Access-Control-Allow-Origin 与主请求相匹配。
• 您只能发送允许的标头的子集（包括 0 个）。

参考

• https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#preflighted_requests