asp.net - AspNetCore 上 localhost 的 CORS 策略阻止
问题描述
我正在尝试使用 AspNetCore,但我一直坚持这一点。当我使用邮递员发送请求时,一切正常,但是当我尝试使用浏览器发送请求时,它不起作用。我正在使用 AspNetCore 3.1。
启动.cs
namespace PMES.HelpDesk.WebAPI
{
public class Startup
{
public Startup(IConfiguration configuration)
{
Configuration = configuration;
}
public IConfiguration Configuration { get; }
public void ConfigureServices(IServiceCollection services)
{
//...
services.AddCors(opt =>
{
opt.AddPolicy("AllowOrigin", options => {
options.AllowAnyOrigin();
options.AllowAnyMethod();
options.AllowAnyHeader();
});
});
//...
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env, ILoggerFactory loggerFactory)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
IdentityModelEventSource.ShowPII = true;
}
else
{
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseRouting();
app.UseCors("AllowOrigin");
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
}
}
错误信息
从源“ http://localhost:8080 ”访问“ http://localhost:5000/api/session/authenticate ”的 XMLHttpRequest已被 CORS 策略阻止:对预检请求的响应未通过访问控制检查:重定向不允许用于预检请求。
编辑 1
我的前端是用 Vue 构建的,这是我的要求
axios
.get(`http://localhost:5000/api/session/authenticate`, {
headers: {
Authorization:
'Bearer ' +
'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMTQ0NjE3Nzc0MiIsIm5hbWUiOiJGZWxpcGUgRW5kbGljaCIsImlhdCI6MTUxNjIzOTAyMiwiZXhwIjoxNTk2MzM5MDIyfQ._VcxTFt6N0oe-QKeyant8lCzcpC2AL69tFcADLBbXO0'
}
})
.then(response => {
window.console.log(response.data);
})
.catch(error => {
window.console.log(error);
});
编辑 2
当我发送邮递员请求时,我得到了这些标头
Date: Thu, 06 Feb 2020 20:08:11 GMT
Server: Kestrel
Content-Length: 0
Allow: GET
Access-Control-Allow-Origin: *
解决方案
您的OPTIONS
请求没问题,但请注意以下问题:
https ://developer.mozilla.org/en-US/docs/Web/HTTP/CORS/Errors/CORSNotSupportingCredentials
在底层 AJAX 控制器上withCredentials
设置为CORS 时不能中断。true
好像axios
不支持。见:
https ://github.com/axios/axios/pull/2582
无论如何,我都不会尝试破解它。你有两个解决方案:
- 将特定域应用于您的 CORS
localhost:8080
- 在 Vue CLI https://vuejs-templates.github.io/webpack/proxy.html上启用 VUE 代理
我肯定会建议第二个,它可以避免你用 CORS 攻击后端
推荐阅读
- angular - Angular CLI 8.2.2 中未显示主题化图标
- android - 为什么视图动画没有消失
- html - 为什么 transform: translateX 会影响移动设备上固定元素的高度?
- awk - 如何在awk中以十六进制格式输入和输出?
- angular - 什么是 autoTableHtmlToJson 以及在哪里转换 html 页面?
- c# - SelectPdf 仅在自定义页面上显示页脚
- python - S3 中的 SageMaker 估计器`source_dir`
- actionscript-3 - 如何在 Adobe Flex 中使用分组数据创建自定义下拉列表?
- android - 如何更新设备上已经存在的 SQLite 表?
- g1ant - 为什么 G1ANT 中的相同代码在不同的迭代中显示不同的结果?