ASP.NET 5：响应中的访问控制允许来源

Question

据我了解，当相应启用 CORS 时，响应模型应包含以下标头信息（前提是我要允许所有内容）：

Access-Control-Allow-Origin: *
Access-Control-Allow-Method: *
Access-Control-Allow-Header: *

在Startup启用它：

public void ConfigureServices(IServiceCollection services)
{
    //...
    services.AddCors();
    services.ConfigureCors(options => 
    {
        options.AddPolicy("AllowAll", p => p.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader().AllowCredentials());
    });
    //...
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
    //...
    app.UseCors("AllowAll");
    //...
}

问题是这些标头都没有返回，我在尝试从 API 请求时收到以下错误：

对预检请求的响应未通过访问控制检查：否 请求中存在“Access-Control-Allow-Origin”标头 资源。 Origin 'http://localhost' 因此不允许访问。

Answer 1

确保在Startup.Configure 方法中在app.UseMvc 之前添加app.UseCors，因为您需要在MVC 中间件之前应用CORS 中间件。

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
    ...

    //Add CORS middleware before MVC
    app.UseCors("AllowAll");

    app.UseMvc(...);
}

否则请求将在应用 CORS 中间件之前完成。这是因为UseMvc 调用UseRouter 最终添加了RouterMiddleware，并且此中间件仅在未找到请求的路由处理程序时执行下一个配置的中间件。

Answer 2

在 .Net Core Web API 5.0 中的 Configure 方法中，您必须在其他方法之前添加 app.UseCors，如下所示：

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    if (env.IsDevelopment())
    {
        ...
    }

    //add CORS
    app.UseCors();

    app.UseHttpsRedirection();

    app.UseRouting();

    app.UseAuthorization();

    app.UseEndpoints(endpoints =>
    {
        endpoints.MapControllers();
    });
}