Comment faire pour activer la SCRO en ASP.net Core WebAPI

Ce que je suis en train de faire

J'ai un backend ASP.Net de Base de l'API Web hébergé sur Azure Plan Libre (Code Source: https://github.com/killerrin/Portfolio-Backend).

J'ai aussi un Site web pour les Clients qui je veux faire consommer de l'API. Le Client Demande ne sera pas hébergé sur Azure, mais plutôt sera hébergé sur Github Pages ou sur un autre Service d'Hébergement Web que j'ai accès. De ce fait les noms de domaine ne s'alignent pas.

À la recherche dans ce, j'ai besoin d'activer la SCRO sur le Web API côté, cependant, j'ai essayé à peu près tout depuis plusieurs heures maintenant et il refuse de travailler.

Comment j'ai de l'Installation du Client
C'est juste un simple client écrit en React.js. Je suis l'appel de l'Api par AJAX en Jquery. La Réagir site fonctionne si je sais que ses pas que. Le Jquery, les appels de l'API travaille comme je l'ai confirmé dans la Tentative 1. Voici comment je fais les appels

    var apiUrl = "http://andrewgodfroyportfolioapi.azurewebsites.net/api/Authentication";
    //alert(username + "|" + password + "|" + apiUrl);
    $.ajax({
        url: apiUrl,
        type: "POST",
        data: {
            username: username,
            password: password
        },
        contentType: "application/json; charset=utf-8",
        dataType: "json",
        success: function (response) {
            var authenticatedUser = JSON.parse(response);
            //alert("Data Loaded: " + authenticatedUser);
            if (onComplete != null) {
                onComplete(authenticatedUser);
            }
        },
        error: function (xhr, status, error) {
            //alert(xhr.responseText);
            if (onComplete != null) {
                onComplete(xhr.responseText);
            }
        }
    });

Ce que j'ai essayé

Tentative 1 - Le " bon " chemin

https://docs.microsoft.com/en-us/aspnet/core/security/cors

J'ai suivi ce tutoriel sur le Site web de Microsoft à un T, en essayant tous les 3 options de permettre à l'échelle Mondiale dans le Démarrage.cs, pour l'installer sur chaque contrôleur et l'Essayer sur chaque Action.

Suivant cette méthode, la Croix de Domaine fonctionne, mais seulement sur une seule Action sur un seul contrôleur (POST à la AccountController). Pour tout le reste, la Microsoft.AspNetCore.Cors middleware refuse de définir les en-têtes.

J'ai installé Microsoft.AspNetCore.Cors via NUGET et la version est 1.1.2

Voici comment je l'ai de configuration de Démarrage.cs

    //This method gets called by the runtime. Use this method to add services to the container.
    public void ConfigureServices(IServiceCollection services)
    {
        //Add Cors
        services.AddCors(o => o.AddPolicy("MyPolicy", builder =>
        {
            builder.AllowAnyOrigin()
                   .AllowAnyMethod()
                   .AllowAnyHeader();
        }));

        //Add framework services.
        services.AddMvc();
        services.Configure<MvcOptions>(options =>
        {
            options.Filters.Add(new CorsAuthorizationFilterFactory("MyPolicy"));
        });

        ...
        ...
        ...
    }

    //This method gets called by the runtime. Use this method to configure 
    //the HTTP request pipeline.
    public void Configure(IApplicationBuilder app, IHostingEnvironment env,
    ILoggerFactory loggerFactory)
    {
        loggerFactory.AddConsole(Configuration.GetSection("Logging"));
        loggerFactory.AddDebug();

        //Enable Cors
        app.UseCors("MyPolicy");

        //app.UseMvcWithDefaultRoute();
        app.UseMvc();

        ...
        ...
        ...
    }

Comme vous pouvez le voir, je fais tout ce que dit. - Je ajouter de la Scro avant MVC deux fois, et quand cela ne fonctionne pas j'ai essayé de mettre [EnableCors("MyPolicy")] sur chaque contrôleur comme

[Route("api/[controller]")]
[EnableCors("MyPolicy")]
public class AdminController : Controller

Tentative 2 - Brute Forcer

https://andrewlock.net/adding-default-security-headers-in-asp-net-core/

Après plusieurs heures de l'essayer lors de la dernière tentative, j'ai pensé que je voudrais essayer de bruteforce en essayant de définir les en-têtes manuellement, en les forçant à exécuter sur chaque réponse. Je l'ai fait en suivant ce tutoriel comment ajouter manuellement des en-têtes à chaque réponse.

Ce sont les en-têtes, j'ai ajouté

.AddCustomHeader("Access-Control-Allow-Origin", "*")
.AddCustomHeader("Access-Control-Allow-Methods", "*")
.AddCustomHeader("Access-Control-Allow-Headers", "*")
.AddCustomHeader("Access-Control-Max-Age", "86400")

Ce sont d'autres têtes que j'ai essayé qui a échoué

.AddCustomHeader("Access-Control-Allow-Methods", "GET, POST, PUT, PATCH, DELETE")
.AddCustomHeader("Access-Control-Allow-Headers", "content-type, accept, X-PINGOTHER")
.AddCustomHeader("Access-Control-Allow-Headers", "X-PINGOTHER, Host, User-Agent, Accept, Accept: application/json, application/json, Accept-Language, Accept-Encoding, Access-Control-Request-Method, Access-Control-Request-Headers, Origin, Connection, Content-Type, Content-Type: application/json, Authorization, Connection, Origin, Referer")

Avec cette méthode, la Croix-têtes de Site sont appliqués correctement et qu'ils se présentent dans mon developer console et en Facteur. Le problème, toutefois, est que bien qu'il passe le Access-Control-Allow-Origin vérification, le contrôle webbrowser jette un hissy fit sur (je crois) Access-Control-Allow-Headers indiquant 415 (Unsupported Media Type)

De sorte que la force brute méthode ne fonctionne pas, soit

Enfin

Quelqu'un a eu cela fonctionne et pourrait donner un coup de main, ou simplement être en mesure de me pointer dans la bonne direction?

MODIFIER

De sorte à obtenir appels API pour passer à travers, j'ai dû l'arrêter à l'aide de JQuery et de passer à un Pur Javascript XMLHttpRequest format.

Tentative 1

J'ai réussi à obtenir le Microsoft.AspNetCore.Cors de travailler par la suite MindingData de réponse, sauf dans le Configure Méthode de mettre le app.UseCors avant app.UseMvc.

En outre, lorsqu'il est mélangé avec l'API Javascript Solution options.AllowAnyOrigin() pour le soutien joker a commencé à travailler en tant que bien.

Tentative 2

J'ai donc réussi à obtenir Tentative 2 (force brute) pour le travail... à la seule exception que le caractère Générique pour Access-Control-Allow-Origin ne fonctionne pas et comme j'ai pour définir manuellement les domaines qui y ont accès.

Son évidemment pas idéal car je veux juste ce WebAPI être ouvert à tout le monde, mais il atleast fonctionne pour moi sur un site distinct, ce qui signifie que c'est un début

app.UseSecurityHeadersMiddleware(new SecurityHeadersBuilder()
    .AddDefaultSecurePolicy()
    .AddCustomHeader("Access-Control-Allow-Origin", "http://localhost:3000")
    .AddCustomHeader("Access-Control-Allow-Methods", "OPTIONS, GET, POST, PUT, PATCH, DELETE")
    .AddCustomHeader("Access-Control-Allow-Headers", "X-PINGOTHER, Content-Type, Authorization"));
  • Pour votre 415 (Unsupported Media Type) problème, définissez un Content-Type en-tête de demande application/json.
  • Merci d'avoir pris le temps d'écrire un tel descriptif question.
  • Si vous faites le test avec le Facteur, assurez-vous de définir l'Origine de * ou quelque chose pour l'en-tête de requête, puis Tentative #1 devrait fonctionner. Sans cette en-tête, Access-Control-Allow-Origin ne seront pas retournés dans l'en-tête de réponse.
InformationsquelleAutor killerrin | 2017-06-06
  1. 187

    Parce que vous avez un très simple de la SCRO politique (Permettre à toutes les demandes de XXX de domaine), vous n'avez pas besoin de faire si compliqué. Essayez de faire la suite (Un très de base de la mise en œuvre de la SCRO).

    Si vous ne l'avez pas déjà fait, installez le CORS de package nuget. 

    Install-Package Microsoft.AspNetCore.Cors

    Dans le ConfigureServices méthode de démarrage.cs, ajoutez de la SCRO services. 

    public void ConfigureServices(IServiceCollection services)
{
    services.AddCors(); //Make sure you call this previous to AddMvc
    services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
}

    Puis dans votre méthode Configure () de votre démarrage.cs, ajoutez la ligne suivante : 

    public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
    //Make sure you call this before calling app.UseMvc()
    app.UseCors(
        options => options.WithOrigins("http://example.com").AllowAnyMethod()
    );

    app.UseMvc();
}

    Maintenant de lui donner un aller. Les politiques sont pour quand vous voulez des politiques différentes pour les différentes actions (par exemple, les différents hôtes ou différents en-têtes). Pour votre exemple simple que vous n'avez vraiment pas besoin. Démarrer avec cet exemple simple et ajuster si vous avez besoin à partir de là.

    Pour en savoir plus : http://dotnetcoretutorials.com/2017/01/03/enabling-cors-asp-net-core/

    • XMLHttpRequest ne peut pas charger andrewgodfroyportfolioapi.azurewebsites.net/api/Authentication. Réponse à la demande de contrôle en amont ne passent pas de contrôle d'accès: Pas de "Access-Control-Allow-Origin' en-tête est présent sur la ressource demandée. Origine 'localhost:3000' est donc pas autorisé à accéder. La réponse avait le code d'état HTTP 415.
    • Malheureusement, ça ne fonctionne pas. J'ai ajouté le code que vous/le tutoriel dit (dans l'ordre de sa liste en trop), avec example.com remplacé par localhost:3000 et j'obtiens une erreur
    • Ainsi, avec un peu de peaufinage, j'ai eu que cette solution fonctionne. Il semble que le problème a été en utilisant AJAX de Jquery pour les appels api car une fois que je suis passé à un pur Javascript solution à l'aide de XMLHttpRequest, il a fini de travailler. Je vais accepter cette réponse et de faire un article dans le post principal
    • C'est rare d'aller au travail, lorsque vous vous inscrivez app.UseCors APRÈS ` app.UseMvc()`. Middlewares sont exécutées dans l'ordre où ils sont inscrits
    • utilisation de l'app.UseCors avant application.UseMvc, dans Configurer la méthode semble fonctionner. Pour une raison quelconque, la séquence ne semble pas à la matière.
    • Désolé, oui. Je l'ai eu mal dans la réponse originale à cette question, changé maintenant. Ils sont exécutés dans l'ordre ET le middleware peut court-circuiter le processus (Donc il ne va pas plus loin)
    • Pour moi, le plus gros problème de la SCRO en 2.0, c'est qu'il ne dit pas ce qui est faux, juste en silence l'absence de définition de la SCRO en-têtes. Note: n'oubliez pas d'ajouter tous vos en-têtes de la politique ou ce sera un échec (j'avais content-type). Aussi chose étrange pour moi que de la SCRO middleware n'a pas de frein à la demande de traitement, juste informer dans les journaux que l'origine n'est pas autorisée et.. Passe à demander plus d' (middleware ordre était correct).
    • J'ai dû activer options.DisableHttpsRequirement(); pour tout ce travail. Il semble par https scro paramètres qui ne fonctionnaient pas.
    • N'a pas fonctionné pour moi jusqu'à ce que les deux côtés ont été http (angulaire ng servir a http, base backend a été https).

    InformationsquelleAutor MindingData
  2. 170
    • Dans ConfigureServices ajouter services.AddCors(); AVANT les services.AddMvc();

    • Ajouter UseCors dans Configurer

      app.UseCors(builder => builder
    .AllowAnyOrigin()
    .AllowAnyMethod()
    .AllowAnyHeader()
    .AllowCredentials());   
app.UseMvc();

    Point principal est que ajouter app.UseCors, avant de app.UseMvc().

    Assurez-vous de déclarer la SCRO fonctionnalités avant MVC ainsi, le middleware, les feux avant de la MVC pipeline obtient le contrôle et se termine à la demande.

    Après la méthode ci-dessus fonctionne, vous pouvez le changer configurer une ORIGINE particulière pour accepter les appels d'api et d'éviter de laisser votre API donc ouvert à toute personne

    public void ConfigureServices(IServiceCollection services)
{
    services.AddCors(options => options.AddPolicy("ApiCorsPolicy", builder =>
    {
        builder.WithOrigins("http://localhost:4200").AllowAnyMethod().AllowAnyHeader();
    }));
    services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
}

    Dans la configuration de la méthode de raconter de la SCRO à utiliser la stratégie que vous venez de créer:

    app.UseCors("ApiCorsPolicy");
app.UseMvc();

    Je viens de trouver ce petit article sur le sujet -
    https://dzone.com/articles/cors-in-net-core-net-core-security-part-vi

    • Cela fonctionne pour moi. codeproject.com/Articles/1150023/...
    • Cela devrait vraiment obtenir plus upvotes comme un "bon départ" point. Dans mon expérience de plus de 25 ans de codage, il est toujours bon de savoir comment ouvrir la porte pour s'assurer qu'il ne fait en "travail" et ensuite fermer/secure choses en tant que de besoin.
    • Pour ne citer que cela, contrairement à Configure() l'ordre n'est pas vraiment importante, ici, dans ConfigureServices()
    • J'ai utilisé le lien dans le Lecteur et ces étapes ont permis de résoudre cette erreur. Je n'étais pas sûr de l'endroit où ces modifications doivent être placés (je pensais l'API). Le Lien a confirmé qu'ils doivent être placés dans l'API. Merci pour l'aide. J'ai été totalement tourner mes roues avec cette erreur.
    • Cela fonctionne avec Asp.Net de Base 2.1 et avec le plus important, avec localhost
    • Juste pour mémoire, parfois de la Scro ne fonctionne pas lorsqu'une application cliente appelle le mauvais serveur web URL avec la POSTE. Si l'URL est incorrecte, OPTIONS de montrer 204 POST mais peut-feu 404 ou 500.
    • Propre réponse.. a Travaillé pour moi aussi.. Merci
    • FYI - de La SCRO spécification précise également que la fixation d'origine pour "*" (toutes origines) n'est pas valide si le Access-Control-Allow-les informations d'Identification de l'en-tête est présent. Ce qui signifie que vous ne pouvez pas utiliser AllowCredentials() avec AllowAnyOrigin() comme ci-dessus. Pour utiliser AllowCredentials() vous devez définir WithOrigins(). docs.microsoft.com/en-us/aspnet/core/security/...
    • Devez mettre à jour builder.WithOrigins("http://localhost:4200").AllowAnyCredentials()... Comme @NickDeBeer mentionné, il ne fonctionnera pas dans 2.2, sans préciser explicitement le permis origines.

    InformationsquelleAutor Ji Ra
  3. 23

    J'ai créé mon propre middleware classe qui a fonctionné pour moi, je pense qu'il ya quelque chose de mal avec .net middleware de base de la classe

    public class CorsMiddleware
{
    private readonly RequestDelegate _next;

    public CorsMiddleware(RequestDelegate next)
    {
        _next = next;
    }

    public Task Invoke(HttpContext httpContext)
    {
        httpContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");
        httpContext.Response.Headers.Add("Access-Control-Allow-Credentials", "true");
        httpContext.Response.Headers.Add("Access-Control-Allow-Headers", "Content-Type, X-CSRF-Token, X-Requested-With, Accept, Accept-Version, Content-Length, Content-MD5, Date, X-Api-Version, X-File-Name");
        httpContext.Response.Headers.Add("Access-Control-Allow-Methods", "POST,GET,PUT,PATCH,DELETE,OPTIONS");
        return _next(httpContext);
    }
}

//Extension method used to add the middleware to the HTTP request pipeline.
public static class CorsMiddlewareExtensions
{
    public static IApplicationBuilder UseCorsMiddleware(this IApplicationBuilder builder)
    {
        return builder.UseMiddleware<CorsMiddleware>();
    }
}

    et utilisé de cette façon dans le démarrage.cs

    app.UseCorsMiddleware();
    • Moyen très élégant en cours d'exécution Access-Control-Allow-Origin.
    • thx très élégant. et oui, il ya quelque chose de mal.
    • Cela fonctionne sur WebAPI et MVC et n'a pas de dépendances, Merci!
    • J'étais sceptique à ce sujet aussi, mais il a travaillé pour moi. J'ai essayé à peu près tous les autres méthode pour accomplir ce que j'ai pu trouver sur internet, mais peu importe ce que le serveur ne serait pas répondre à la accès des en-têtes. Cela a très bien fonctionné. Je suis en cours d'exécution aspnetcore 2.1.
    • Vous devez retourner la scro en-têtes uniquement si le client envoyez en-tête de "l'Origine" dans la requête. Dans l'original CospMiddleware il ressemble à ceci: if (!context.Request.Headers.ContainsKey(CorsConstants.Origin)) return this._next(context);
    • Peut-être "quelque chose de mal avec .net middleware de base de la classe" parce que vous ne pouvez pas ajouter un en-tête "Origine" lors de l'essai avec curl ou quelque chose comme ça. Les navigateurs ajouter cet en-tête automatiquement lorsque vous faites une demande dans le code js.
    • Voir plus de détails ici developer.mozilla.org/en-US/docs/Web/HTTP/CORS#Simple_requests –

    InformationsquelleAutor user8266077
  4. 14

    Dans mon cas, seulement get demande fonctionne bien selon MindingData de réponse. Pour les autres types de demande, vous devez écrire:

    app.UseCors(corsPolicyBuilder =>
   corsPolicyBuilder.WithOrigins("http://localhost:3000")
  .AllowAnyMethod()
  .AllowAnyHeader()
);

    N'oubliez pas d'ajouter .AllowAnyHeader()

    • D'accord avec Towhid que AllowAnyHeader() est nécessaire. Il laisse serveur reçoit la demande d'OPTIONS si l'en-TÊTE de demande de manque de quelque chose.
    • L' .AllowAnyHeader() l'a fait pour moi, j'ai eu des problèmes avec le contrôle en amont de la réponse.
    InformationsquelleAutor Towhid
  5. 8

    De s'étendre sur les user8266077's réponse, j'ai trouvé que j'ai encore besoin de fournir des OPTIONS de réponse pour le contrôle en amont des demandes dans .NET de Base 2.1-aperçu dans mon cas d'utilisation:

    //https://stackoverflow.com/a/45844400
public class CorsMiddleware
{
  private readonly RequestDelegate _next;

  public CorsMiddleware(RequestDelegate next)
  {
    _next = next;
  }

  public async Task Invoke(HttpContext context)
  {
    context.Response.Headers.Add("Access-Control-Allow-Origin", "*");
    context.Response.Headers.Add("Access-Control-Allow-Credentials", "true");
    //Added "Accept-Encoding" to this list
    context.Response.Headers.Add("Access-Control-Allow-Headers", "Content-Type, X-CSRF-Token, X-Requested-With, Accept, Accept-Version, Accept-Encoding, Content-Length, Content-MD5, Date, X-Api-Version, X-File-Name");
    context.Response.Headers.Add("Access-Control-Allow-Methods", "POST,GET,PUT,PATCH,DELETE,OPTIONS");
    //New Code Starts here
    if (context.Request.Method == "OPTIONS")
    {
      context.Response.StatusCode = (int)HttpStatusCode.OK;
      await context.Response.WriteAsync(string.Empty);
    }
    //New Code Ends here

    await _next(context);
  }
}

    puis activé le middleware comme dans de Démarrage.cs

    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
  app.UseMiddleware(typeof(CorsMiddleware));
  //... other middleware inclusion such as ErrorHandling, Caching, etc
  app.UseMvc();
}
    • Je recommande l'ajout de middleware de cette façon: app.Use<CorsMiddleware>();
    • Vous pouvez remplacer ces 2 ligne : le contexte.Réponse.StatusCode = (int)HttpStatusCode.OK; attendent contexte.Réponse.WriteAsync(chaîne de caractères.Vide); avec un simple : de retour;
    • Pour développer votre extension de @user8266077 réponse: Attention, si la demande pour une autre raison échoue, ce middleware lève une exception et les en-têtes ne seront pas réglées. Ce qui signifie que dans le frontend, il sera toujours ressembler à un SCRO question, même si c'est quelque chose de totalement différent. J'ai contourné ce par attraper toutes les exceptions dans await _next(context) et le réglage du code d'état et de réponse manuellement si cela se produit. J'ai aussi dû ajouter "autorisation" pour Access-Control-Allow-en-Têtes pour le contrôle en amont de la demande de travail lorsque des demandes de réagir qui exige une autorisation.
    InformationsquelleAutor ckr
  6. 6

    Aucune des procédures mentionnées ci-dessus ont aidé et j'ai ensuite lu l'article qui a résolu le problème.

    Ci-dessous est le code.

    public void ConfigureServices(IServiceCollection services)
{
    //Add service and create Policy with options
    services.AddCors(options =>
    {
        options.AddPolicy("CorsPolicy",
            builder => builder.AllowAnyOrigin()
            .AllowAnyMethod()
            .AllowAnyHeader()
            .AllowCredentials() );
    });


    services.AddMvc(); 
}

    et 

    public void Configure(IApplicationBuilder app)
{
    //...

    //global policy - assign here or on each controller
    app.UseCors("CorsPolicy");

    et sur le haut de ma actionmethod

    [EnableCors("CorsPolicy")]
    • Très très très très grâce. 🙂 🙂 🙂 Il a travaillé pour moi.
    InformationsquelleAutor Sainath
  7. 4

    essayez d'ajouter jQuery.support.cors = true; avant l'appel Ajax

    Il se pourrait aussi que les données de votre envoi à l'API est bancale,

    essayez d'ajouter le suivant JSON fonction

            var JSON = JSON || {};
//implement JSON.stringify serialization
JSON.stringify = JSON.stringify || function (obj) {
var t = typeof (obj);
if (t != "object" || obj === null) {
//simple data type
if (t == "string") obj = '"' + obj + '"';
return String(obj);
}
else {
//recurse array or object
var n, v, json = [], arr = (obj && obj.constructor == Array);
for (n in obj) {
v = obj[n]; t = typeof (v);
if (t == "string") v = '"' + v + '"';
else if (t == "object" && v !== null) v = JSON.stringify(v);
json.push((arr ? "" : '"' + n + '":') + String(v));
}
return (arr ? "[" : "{") + String(json) + (arr ? "]" : "}");
}
};
//implement JSON.parse de-serialization
JSON.parse = JSON.parse || function (str) {
if (str === "") str = '""';
eval("var p=" + str + ";");
return p;
};

    ensuite dans vos données: modification de l'objet à 

        data: JSON.stringify({
username: username,
password: password
}),
    • Merci pour votre aide. Certainement utilisé une partie de la réponse à trouver la solution à la fin, après avoir combiné les réponses de tout le monde
    InformationsquelleAutor Riaan Saayman
  8. 3

    Je pense que si vous utilisez votre propre de la SCRO middleware, vous devez vous assurer qu'il est vraiment de la SCRO demande en cochant origine en-tête. 

     public class CorsMiddleware
{
private readonly RequestDelegate _next;
private readonly IMemoryCache _cache;
private readonly ILogger<CorsMiddleware> _logger;
public CorsMiddleware(RequestDelegate next, IMemoryCache cache, ILogger<CorsMiddleware> logger)
{
_next = next;
_cache = cache;
_logger = logger;
}
public async Task InvokeAsync(HttpContext context, IAdministrationApi adminApi)
{
if (context.Request.Headers.ContainsKey(CorsConstants.Origin) || context.Request.Headers.ContainsKey("origin"))
{
if (!context.Request.Headers.TryGetValue(CorsConstants.Origin, out var origin))
{
context.Request.Headers.TryGetValue("origin", out origin);
}
bool isAllowed;
//Getting origin from DB to check with one from request and save it in cache 
var result = _cache.GetOrCreateAsync(origin, async cacheEntry => await adminApi.DoesExistAsync(origin));
isAllowed = result.Result.Result;
if (isAllowed)
{
context.Response.Headers.Add(CorsConstants.AccessControlAllowOrigin, origin);
context.Response.Headers.Add(
CorsConstants.AccessControlAllowHeaders,
$"{HeaderNames.Authorization}, {HeaderNames.ContentType}, {HeaderNames.AcceptLanguage}, {HeaderNames.Accept}");
context.Response.Headers.Add(CorsConstants.AccessControlAllowMethods, "POST, GET, PUT, PATCH, DELETE, OPTIONS");
if (context.Request.Method == "OPTIONS")
{
_logger.LogInformation("CORS with origin {Origin} was handled successfully", origin);
context.Response.StatusCode = (int)HttpStatusCode.NoContent;
return;
}
await _next(context);
}
else
{
if (context.Request.Method == "OPTIONS")
{
_logger.LogInformation("Preflight CORS request with origin {Origin} was declined", origin);
context.Response.StatusCode = (int)HttpStatusCode.NoContent;
return;
}
_logger.LogInformation("Simple CORS request with origin {Origin} was declined", origin);
context.Response.StatusCode = (int)HttpStatusCode.Forbidden;
return;
}
}
await _next(context);
}
    • Je vous remercie beaucoup. J'ai failli allé noix, me demandant pourquoi le Access-Control-Allow-Origin en-tête n'a pas été émis par le serveur. En fait, j'ai envoyé des requêtes via le Facteur w/o la Origin en-tête. Cela a sauvé ma journée! (Ou au moins ma matinée 😉 )
    InformationsquelleAutor Riddik
  9. 2

    Basé sur votre commentaire dans MindingData réponse, il n'a rien à voir avec votre CORS, ça fonctionne.

    Votre Contrôleur de l'action est de retour les données erronées. HttpCode 415 signifie, non pris en charge "type de Média". Cela se produit lorsque vous passez le mauvais format pour le contrôleur (c'est à dire XML à un contrôleur qui accepte uniquement json) ou lorsque vous revenez à un mauvais type (retour Xml dans un contrôleur qui est déclarée à seulement renvoyer du xml).

    Pour plus tard, une vérification de l'existence de [Produces("...")]attribut sur votre action

    • Merci pour votre aide. Essayé une nouvelle solution et a joué avec json être envoyée et qu'il a travaillé, après je stringified et réussi à le faire fonctionner
    InformationsquelleAutor Tseng
  10. 2

    Pour moi, il n'avait rien à voir avec le code que j'ai utilisé. Pour Azure, nous avons dû aller dans les paramètres de l'Application de Service, dans le menu latéral de l'entrée "CORS". Là, j'ai dû ajouter le domaine que je demande des trucs de. Une fois que j'ai eu qui en, tout était magique.

    InformationsquelleAutor kjbetz
  11. 1

    Solution la plus simple est d'ajouter

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
else
{
app.UseHsts();
}
app.UseCors(options => options.AllowAnyOrigin());
app.UseHttpsRedirection();
app.UseMvc();
}

    de Démarrage.cs.

    InformationsquelleAutor amilamad
  12. 1

    Dans launchSettings.json, sous iisSettings, ensemble anonymousAuthentication vrai:

    "iisSettings": {
"windowsAuthentication": true,
"anonymousAuthentication": true,
"iisExpress": {
"applicationUrl": "http://localhost:4200/",
"sslPort": 0
}
}

    Puis, dans la phase de Démarrage.cs, sous ConfigureServices, avant que les services.AddMvc, ajouter:

    services.AddCors(options => options.AddPolicy("ApiCorsPolicy", builder =>
{
builder
.AllowAnyOrigin()
.WithHeaders(HeaderNames.AccessControlAllowHeaders, "Content-Type")
.AllowAnyMethod()
.AllowCredentials();
}));

    et ensuite, dans la méthode configure (), avant application.UseMvc() ajouter:

    app.UseCors("ApiCorsPolicy");
    • Cela l'a fait pour moi, j'ai à l'origine de l'installation de mon projet pour l'Authentification Windows, mais alors dû changer anonyme, j'ai eu de la SCRO correctement configuré, mais ce paramètre dans launchSettings.json est le coupable, je vous remercie pour l'affichage de ce!.
    InformationsquelleAutor Adrian
  13. 0

    J'ai eu MindingData la réponse ci-dessus fonctionne, mais j'ai dû utiliser Microsoft.AspNet.Cors au lieu de Microsoft.AspNetCore.La scro. Je suis à l'aide .NetCore Application Web API projet dans Visual Studio 2019

    InformationsquelleAutor carl
  14. 0
    services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2)
.AddJsonOptions(options => {
var resolver = options.SerializerSettings.ContractResolver;
if (resolver != null)
(resolver as DefaultContractResolver).NamingStrategy = null;
});
services.AddDbContext<PaymentDetailContext>(options => options.UseSqlServer(Configuration.GetConnectionString("DevConnection"))); //Dependency Injection
//options => options.UseSqlServer() Lamda Expression
services.AddCors(options =>
{
options.AddPolicy(MyAllowSpecificOrigins,
builder =>
{
builder.WithOrigins("http://localhost:4200").AllowAnyHeader()
.AllowAnyMethod(); ;
});
});
    • Merci de modifier votre réponse à inclure et à l'explication de votre code et comment il diffère des autres réponses. Cela permettra de rendre votre post plus utile et plus de chances pour qu'il soit upvoted 🙂
    InformationsquelleAutor Albin C S