WithOrigins 部分覆盖 Access-Control-Allow-Origin .Net Core API

Question

在我的 Startup.cs 我有

app.UseCors(builder => builder.WithOrigins("https://acme.com"));

在我的 web.config 我有

<configuration>
 <system.webServer>
  <httpProtocol>
   <customHeaders>
    <add name="Accept-Encoding" value="gzip, deflate, sdch" />
    <add name="Access-Control-Allow-Origin" value="*"/>        
    <add name="Access-Control-Allow-Headers" value="Origin..." />

当我提交这样的 ajax 请求时，它告诉我 ACAO 只允许一个值，我有多个“https://acme.com, *”。

当我完全删除值部分时，同样的错误，但不是列出我的来源，而是开始列出 Allow-Access-Control-Headers 标记中的值。

当我完全删除 ACAO 标签时，它告诉我没有标签是可以理解的。

如果我的配置中有 WithOrigins 规范，那么 ACAO 标记应该是什么样子？

Answer 1

这实际上是别人的项目，所以我不确定 web.config 条目是从哪里开始的。我完全删除了 web 配置的 <httpprotocol> 部分，并使用以下正常过程让 AddCors() 工作：

app.UseCors(builder =>
        {
            builder.WithOrigins("http://acme.com");
        });

似乎在 web.config 中有一个 <httpProtocol> 标记会导致它在两个地方查找应该只出现一次的信息。

Answer 2

这个问题并不清楚您实际上想要允许哪些来源。您的选择似乎是：

• 如果您只想允许https://acme.com，则可以从web.config 中删除<add name="Access-Control-Allow-Origin" value="*"/> 行，服务器仍将发送Access-Control-Allow-Origin: https://acme.com 响应标头。

1234563 <add name="Access-Control-Allow-Origin" value="*"/> 来自您的 web.config，因为服务器已经发送了一个 Access-Control-Allow-Origin: * 以允许所有来源。

---

您还可以在 app.UseCors 调用中指定允许的标头，如下所示：

app.UseCors(builder => builder.WithOrigins("https://acme.com")
                              .WithHeaders("Authorization", "Location"));

请注意，您不需要在此处指定 Origin 标头，因为浏览器不要求 Origin 在 Access-Control-Allow-Headers 中才能被允许。 （因为 Origin 标头是由浏览器本身在请求中设置和发送的；它不是“自定义”标头。）

如果您只想允许所有请求标头，则可以改为这样做：

app.UseCors(builder => builder.WithOrigins("https://acme.com")
                              .AllowAnyHeader());

如果您在此处使用.WithHeaders(…) 或.AllowAnyHeader() 标头，则还可以从web.config 中删除<add name="Access-Control-Allow-Headers" value="Origin..."/> 行