Я решил эту проблему после того, как не нашел решения в Stackoverflow, поэтому делюсь своей проблемой здесь и решением в ответе.
После включения междоменной политики в моем приложении .NET Core Web Api с помощью AddCors оно по-прежнему не работает в браузерах. Это связано с тем, что браузеры, включая Chrome и Firefox, сначала отправляют запрос OPTIONS, а мое приложение просто отвечает 204 No Content.
Добавьте в проект класс промежуточного программного обеспечения для обработки команды OPTIONS.
using System.Threading.Tasks;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Hosting;
namespace Web.Middlewares
{
public class OptionsMiddleware
{
private readonly RequestDelegate _next;
public OptionsMiddleware(RequestDelegate next)
{
_next = next;
}
public Task Invoke(HttpContext context)
{
return BeginInvoke(context);
}
private Task BeginInvoke(HttpContext context)
{
if (context.Request.Method == "OPTIONS")
{
context.Response.Headers.Add("Access-Control-Allow-Origin", new[] { (string)context.Request.Headers["Origin"] });
context.Response.Headers.Add("Access-Control-Allow-Headers", new[] { "Origin, X-Requested-With, Content-Type, Accept" });
context.Response.Headers.Add("Access-Control-Allow-Methods", new[] { "GET, POST, PUT, DELETE, OPTIONS" });
context.Response.Headers.Add("Access-Control-Allow-Credentials", new[] { "true" });
context.Response.StatusCode = 200;
return context.Response.WriteAsync("OK");
}
return _next.Invoke(context);
}
}
public static class OptionsMiddlewareExtensions
{
public static IApplicationBuilder UseOptions(this IApplicationBuilder builder)
{
return builder.UseMiddleware<OptionsMiddleware>();
}
}
}
Затем добавьте app.UseOptions(); это как первую строку в Startup.cs в методе Configure.
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
app.UseOptions();
}
context.Response.WriteAsync("OK");, поэтому измените реализацию Invoke на: if (context.Request.Method != "OPTIONS") { await this._next.Invoke(context); }
- person Amen Ayach; 07.07.2017
context.Response.WriteAsync("OK");, поэтому _next.invoke(context) никогда не достигается, если метод OPTIONS
- person Jesse de gans; 18.12.2019
Я знаю, что на него был дан ответ. Просто отвечаю с обновленной информацией. Так что это поможет другим.
Теперь он встроен в платформу ASP.NET Core.
Просто следуйте https://docs.microsoft.com/en-us/aspnet/core/security/cors
и заменить
app.UseCors(builder =>
builder.WithOrigins("http://example.com"));
с участием
app.UseCors(builder =>
builder.WithOrigins("http://example.com")
.AllowAnyHeader()
.AllowAnyMethod()
.AllowCredentials());
204 No Content в коде статуса ответа
- person Nitin S; 29.01.2019
204 No Content ответ при попытке этого
- person Mark Entingh; 16.04.2019
204 No Content проблема? Похоже, единственная информация, которую вы должны ожидать от OPTIONS запроса, находится в заголовках. Нет? Mozilla, похоже, согласна.
- person Fing Lixon; 25.07.2019
Configure() в Startup.cs
- person Luke; 22.11.2019
Это сработало для меня:
Убедитесь, что это:
app.UseCors(builder => {
builder.AllowAnyOrigin();
builder.AllowAnyMethod();
builder.AllowAnyHeader();
});
Происходит перед любым из них:
app.UseHttpsRedirection();
app.UseDefaultFiles();
app.UseStaticFiles();
app.UseCookiePolicy();
Помните, мы имеем дело с «конвейером». Корс должен быть первым.
-гимзани
Нет необходимости в дополнительном промежуточном программном обеспечении. Как уже упоминалось выше, единственное, что необходимо, - это метод OPTIONS, разрешенный в конфигурации Cors. Вы можете AllowAnyMethod, как предлагается здесь: https://stackoverflow.com/a/55764660/11921910
Но безопаснее просто разрешить определенные вещи вроде этого:
app.UseCors(builder => builder
.WithOrigins("https://localhost", "https://production.company.com") /* list of environments that will access this api */
.WithMethods("GET", "OPTIONS") /* assuming your endpoint only supports GET */
.WithHeaders("Origin", "Authorization") /* headers apart of safe-list ones that you use */
);
Некоторые заголовки разрешены всегда: https://developer.mozilla.org/en-US/docs/Glossary/CORS-safelisted_request_header
Проблема с параметрами AspNetCoreModuleV2
Основной модуль .Net не знает, как обрабатывать OPTIONS, что вызывает проблему CORS перед полетом, поэтому решение состоит в том, чтобы исключить команду OPTIONS из обработки им. Это делается заменой * на нужные вам глаголы, кроме OPTIONS. Не волнуйтесь, команда OPTIONS будет обрабатываться загруженным по умолчанию OPTIONSHandler:
IIS
Решение: изменить web.config
<add name="aspNetCore" path="*" verb="* modules="AspNetCoreModuleV2" resourceType="Unspecified" />
Сделайте это так:
<add name="aspNetCore" path="*" verb="GET,POST,PUT,DELETE" modules="AspNetCoreModuleV2" resourceType="Unspecified" />
IIS Express: для отладчика Visual Studio
Я попытался изменить .vs\ProjectName\config\applicationhost.config внизу файла, но безнадежно. Таким образом, в данном конкретном случае вы можете использовать выбранный ответ.
Я хотел разрешить это для одного метода, а не использовать промежуточное ПО, чтобы разрешить это для любого метода. Вот чем я закончил:
[HttpOptions("/find")]
public IActionResult FindOptions()
{
Response.Headers.Add("Access-Control-Allow-Origin", new[] { (string)Request.Headers["Origin"] });
Response.Headers.Add("Access-Control-Allow-Headers", new[] { "Origin, X-Requested-With, Content-Type, Accept" });
Response.Headers.Add("Access-Control-Allow-Methods", new[] { "POST, OPTIONS" }); // new[] { "GET, POST, PUT, DELETE, OPTIONS" }
Response.Headers.Add("Access-Control-Allow-Credentials", new[] { "true" });
return NoContent();
}
[HttpPost("/find")]
public async Task<IActionResult> FindOptions([FromForm]Find_POSTModel model)
{
AllowCrossOrigin();
// your code...
}
private void AllowCrossOrigin()
{
Uri origin = null;
Uri.TryCreate(Request.Headers["Origin"].FirstOrDefault(), UriKind.Absolute, out origin);
if (origin != null && IsOriginAllowed(origin))
Response.Headers.Add("Access-Control-Allow-Origin", $"{origin.Scheme}://{origin.Host}");
}
И, конечно, вы можете реализовать IsOriginAllowed по своему желанию.
private bool IsOriginAllowed(Uri origin)
{
const string myDomain = "mydomain.com";
const string[] allowedDomains = new []{ "example.com", "sub.example.com" };
return
allowedDomains.Contains(origin.Host)
|| origin.Host.EndsWith($".{myDomain}");
}
Вы можете найти более подробную информацию на как включить CORS для запросов POST на одной конечной точке
Я хочу дать конкретный ответ для моей конкретной ситуации, когда я тестировал как api, так и клиентское веб-приложение локально. Я знаю, что это поздно, но CORS так сильно изменился в ядре dot net, я подумал, что такие новички, как я, могли бы извлечь выгоду из полного сообщения.
Для меня это были две проблемы, которые возникли один за другим.
Во-первых, это общедоступный void ConfigureServices (сервисы IServiceCollection)
//lets add some CORS stuff
services.AddCors(options =>
{
options.AddDefaultPolicy(builder => {
builder.WithOrigins("http://localhost:3000",
"http://www.contoso.com");
builder.AllowAnyMethod();
builder.AllowAnyHeader();
builder.AllowCredentials();
});
});
а затем это переходит в public void Configure (приложение IApplicationBuilder, IWebHostEnvironment env)
app.UseCors();
Добро пожаловать .
[HttpOptions (/ find)] общедоступный IActionResult FindOptions ()
{
Response.Headers.Add("Access-Control-Allow-Origin", new[] { (string)Request.Headers["Origin"] });
Response.Headers.Add("Access-Control-Allow-Headers", new[] { "Origin, X-Requested-With, Content-Type, Accept" });
Response.Headers.Add("Access-Control-Allow-Methods", new[] { "POST, OPTIONS" }); // new[] { "GET, POST, PUT, DELETE, OPTIONS" }
Response.Headers.Add("Access-Control-Allow-Credentials", new[] { "true" });
return NoContent();
}`enter code here`
На самом деле, ни один из ответов у меня не сработал, но я наконец понял, в чем проблема, и не могу поверить, что просто переместил app.UserCors("PolicyName"); перед app.UseAuthorization();, и он начал работать!
Я подумал, что это может быть кому-то полезно.
services.AddCors(options =>
{
options.AddPolicy("EnableCORS", bl =>
{
bl.WithOrigins(origins)
.AllowAnyMethod()
.AllowAnyHeader()
.AllowCredentials()
.Build();
});
});
..........................
app.UseAuthentication();
app.UseCors("EnableCORS");
.....
app.UseAuthorization();
