ASP.NET Core CORS要求がブロックされました。 APIが正しいヘッダーを適用しないのはなぜですか？

Question

認証を使用してCORSをセットアップしようとしています。 http：// localhost：610 にWeb APIサイトがあり、 http：// localhost：620 に消費Webアプリケーションがあります。 Web API Startup.csには、次のものがあります。

_ public void ConfigureServices(IServiceCollection services) { services.AddCors(o => o.AddPolicy("MyPolicy", corsBuilder => { corsBuilder.WithOrigins("http://localhost:62000") .AllowAnyMethod() .AllowAnyHeader() .AllowCredentials(); })); IMvcBuilder builder = services.AddMvc(); // ... } // ... public void Configure(IApplicationBuilder app, IHostingEnvironment env) { app.UseCors("MyPolicy"); app.UseDeveloperExceptionPage(); app.UseDefaultFiles(); app.UseStaticFiles(); app.UseMvc(); } _

すべての文書は、それが私が必要とするすべてであるべきことを示しているようです。私のアプリのJavascriptでは、次のように呼び出します：

_ $.ajax({ type: 'POST', url: "http://localhost:61000/config/api/v1/MyStuff", data: matchForm.serialize(), crossDomain: true, xhrFields: { withCredentials: true }, success: function (data) { alert(data); } }); _

そして、私はChromeに入ります：_Failed to load http://localhost:61000/config/api/v1/MyStuff: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:62000' is therefore not allowed access._

...そしてFirefoxの場合：Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://localhost:61000/config/api/v1/MyStuff. (Reason: CORS header ‘Access-Control-Allow-Origin’ missing).

私は何が欠けていますか？ CORSを有効にするために必要なのはこれだけであると思いますが、明らかに他の何かが欠けています。

Patrick Szalapski · Accepted Answer

ASP.NET Core 2.1以前の場合：

コードにエラーがあったようですが、ASP.NETで生成されたエラーページを取得する代わりに、あいまいなエラーが表示されました。実際、CORSヘッダーは最初は適切に適用されていますが、ASP.NETミドルウェアで生成されたエラーは取り除かれていることがわかります。 https://github.com/aspnet/Home/issues/2378 も参照してください。

このリンクを使用して、このクラスを見つけました

using System.Threading.Tasks; using Microsoft.AspNetCore.Http; namespace MySite.Web.Middleware { /// <summary> /// Reinstates CORS headers whenever an error occurs. /// </summary> /// <remarks>ASP.NET strips off CORS on errors; this overcomes this issue, /// explained and worked around at https://github.com/aspnet/Home/issues/2378 </remarks> public class MaintainCorsHeadersMiddleware { public MaintainCorsHeadersMiddleware(RequestDelegate next) { _next = next; } private readonly RequestDelegate _next; public async Task Invoke(HttpContext httpContext) { // Find and hold onto any CORS related headers ... var corsHeaders = new HeaderDictionary(); foreach (var pair in httpContext.Response.Headers) { if (!pair.Key.ToLower().StartsWith("access-control-")) { continue; } // Not CORS related corsHeaders[pair.Key] = pair.Value; } // Bind to the OnStarting event so that we can make sure these CORS headers are still included going to the client httpContext.Response.OnStarting(o => { var ctx = (HttpContext)o; var headers = ctx.Response.Headers; // Ensure all CORS headers remain or else add them back in ... foreach (var pair in corsHeaders) { if (headers.ContainsKey(pair.Key)) { continue; } // Still there! headers.Add(pair.Key, pair.Value); } return Task.CompletedTask; }, httpContext); // Call the pipeline ... await _next(httpContext); } } }

そして、Startup.csのサイト構成に追加しました。

 public void Configure(IApplicationBuilder app, IHostingEnvironment env) { app.UseCors(...); app.UseMiddleware<MaintainCorsHeadersMiddleware>(); ... app.UseMvc(); }

Muhammad Rehan Saeed · Answer

ASP.NET Core 2.2.0アンサー

現在、この問題は修正済みです。例外がスローされ、500応答が返される場合でも、CORSヘッダーが返されるようになりました。

ASP.NET Core <= 2.1.0回答

CORSヘッダーは、例外がスローされ、500応答が返されたときに応答から削除されました。

Fidel Orozco · Answer

私の場合、「application/json」コンテンツタイプリクエストを行っていたため、CORSヘッダーが失われ、CORSではこのタイプのリクエストが最初にOPTIONSメソッドを送信し、その後、通常のPOSTただし、OPTIONSは、.Net Coreパイプラインのミドルウェアコードによって次のように管理されていました。

 if (context.Request.Method == "OPTIONS") { context.Response.StatusCode = (int)HttpStatusCode.OK; await context.Response.WriteAsync(string.Empty); }

ミドルウェアを削除すると、これらの要求は完全に処理されました。

Ryan I. · Answer

OWINミドルウェアを使用するWeb APIプロジェクトで同じ問題が発生していましたが、間違ったパッケージバージョンがAPI側でエラーを引き起こしていました（CORSヘッダーが応答で取り除かれ、元のエラーが不明瞭になったため、クライアント側で隠されました）。ウェブ上でOWINを使用して同様の例を見つけることができなかったため、ここで共有して、同様のソリューションを実装しました。

using System; using System.Linq; using System.Threading.Tasks; using Owin; using Microsoft.Owin; using Microsoft.Owin.Cors; namespace App_Server { using AppFunc = Func<IDictionary<string, object>, Task>; partial class Startup { public void Configuration(IAppBuilder app) { app.UseCors(CorsOptions.AllowAll); app.Use(new Func<AppFunc, AppFunc>(RetainHeaders)); .... (other startup tasks) } private AppFunc RetainHeaders(AppFunc next) { AppFunc appFunc = async (IDictionary<string, object> context) => { IOwinContext httpContext = new OwinContext(context); var corsHeaders = new HeaderDictionary(new Dictionary<string, string[]>()); foreach (var pair in httpContext.Response.Headers) { if (!pair.Key.ToLower().StartsWith("access-control-")) { continue; } //not a CORS header corsHeaders[pair.Key] = pair.Value.First(); } httpContext.Response.OnSendingHeaders(o => { var localcontext = new OwinContext((IDictionary<string, object>)o); var headers = localcontext.Response.Headers; //make sure headers are present, and if not, add them back foreach (var pair in corsHeaders) { if (headers.ContainsKey(pair.Key)) { continue; } headers.Add(pair.Key, pair.Value); } }, context); await next.Invoke(context); }; return appFunc; } }

これは、.NET用のOWINパッケージの文書化が不十分であることを考えると、かなりの作業プロセスだったので、他の誰かが解決策を探しているときに役立つことを願っています。