即使允许几乎所有内容，ASP.NET 5/Core/vNext CORS 也无法正常工作

Question

我有一个 ASP.NET 5 Web API（好吧，无论如何现在都是 MVC）后端，我正在使用我的 JS 应用程序中的 axios 库。

我在 MVC 中的 CORS 配置如下：

public void ConfigureServices(IServiceCollection services)
{
      services.AddMvc();
      services.AddCors();
} 


public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{ 
      app.UseCors(builder => {
          builder.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader();
      });
}

也就是说，我应该允许所有可能的请求。然而，虽然这个修复了预检请求，但 POST 请求仍然被拒绝（我可以看到它在服务器上执行，但响应中没有标头，因此会导致客户端错误）。

有没有人知道为什么这不起作用？

这些是 MVC api 返回的标头：

• 对于 OPTIONS 预检（这一项通过）：
• 对于实际的 POST 请求（这个没有通过）：

Answer 1

你必须在 MVC 之前添加 Cors。中间件的注册顺序很重要。如果 Cors 在 mvc 之后注册，它将永远不会被调用。它们按注册顺序调用。

一旦 cors 处理了请求，它将把它传递给下一个中间件 (Mvc)

Answer 2

@Norgerman 在 cmets 中提到了这一点，但我认为这是值得回答的，因为我自己犯了这个错误几次次：

CORS 中间件仅适用于实际的跨域请求

如果您只是访问相同的域请求（例如在浏览器中输入 URL），它不会被触发。

这意味着，如果您正在测试，您必须使用来自另一个端口或域上的 XHR 客户端的实际跨域请求，或者使用可以显式地将 origin 标头插入 HTTP 请求的 HTTP 客户端。

Answer 3

问题实际上在于处理 POST 请求的操作中存在异常，正如 Norgerman 所提到的，默认异常处理程序清除了 CORS 标头。

Answer 4

这对我有用：

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{ 
    app.UseCors(x => x.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader().AllowCredentials());
}

Answer 5

如果您使用的是 UseHttpsRedirection，请确保您的应用正在调用 https URL 而不是 http URL，否则即使返回 Accept-Header-Allow-Origin 标头，您也会收到 CORS 错误。

Answer 6

假设您正在尝试创建一个真正的 PUBLIC 端点，这对我有用：

请确保：

app.UseCors(builder => {
    builder.AllowAnyOrigin()
    builder.AllowAnyMethod()
    builder.AllowAnyHeader()
});

在以下任何一个之前发生：

app.UseHttpsRedirection();
app.UseDefaultFiles();
app.UseStaticFiles();
app.UseCookiePolicy();

app.useMvc();

请记住，我们正在处理“管道”。 cors 的东西必须放在第一位。

另外 - （我再次假设，“公共端点”） - 确保您的 XHR 调用具有... xhr.withCredentials = false;

... 或者只是省略它。如果您将其设置为“true”，您将收到有关“通配符”的 CORS 警告。

Answer 7

这对我有用，因为我在使用 CORS 和 axios 时遇到了同样的问题。

假设您已正确设置 API，并且已在 API 控制器中修饰了类：

[EnableCors("YourCorsPolicy")]

（您还需要将“使用 Microsoft.AspNetCore.Cors;”语句添加到您的课程中）

那么你需要在你的 axios-auth.js 文件中使用以下内容：

axios.defaults.headers.common['Access-Control-Allow-Origin'] = '*'

这对我来说在 https 上工作得很好。如果您需要指南，这是我完整的 axios-auth。

import axios from 'axios'

const instance = axios.create({
  baseURL: 'https://localhost:56799/api'
})

axios.defaults.headers.common['Access-Control-Allow-Origin'] = '*'
axios.defaults.headers.get['Accepts'] = 'application/json'
axios.defaults.headers.post['Content-Type'] = 'application/json; charset=utf-8'

export default instance

我希望这是有用的。

Answer 8

对我有帮助：

services.AddCors(options =>{
  options.AddPolicy(AllowAllCorsPolicy, builder =>{
    builder
    .SetIsOriginAllowed(x =>_ = true)
    .AllowAnyMethod()
    .AllowAnyHeader()
    .AllowCredentials();
  });
});

拍摄from。

Answer 9

请注意，除了在您的项目中启用 CORS 之外，还必须正确设置 Windows 防火墙和项目的 .vs\config\applicationhost.config。下面的清单可以提供帮助：

1. 您的应用程序/API 使用的端口是否在防火墙中打开？如果没有，请打开它。

2. 打开您的项目.vs\config\applicationhost.config 文件并搜索<binding protocol="http" bindingInformation="*:NNNNN:localhost" />（其中NNNNN 是您的应用程序/API 使用的IP 端口号）。在此之后添加第二行 <binding protocol="http" bindingInformation="*:NNNNN:*" />，以便您允许任何 IP 地址访问您的应用程序。

重新启动 IIS Express 并记住在大多数情况下以管理员身份运行 Visual Studio 很重要。

之后，继续您的 CORS 设置和测试。