ASP.NET Core 禁用特定控制器的 CORS

Question

我的应用程序中有一组不同的控制器（假设 A 和 B）。A 控制器的 CORS 需要为 B 控制器启用和禁用。我通过以下方式通过策略配置了 CORS：

配置服务方法：

services.AddCors(
    options =>
    {
        options.AddPolicy(
            "AllowCors",
            builder =>
                {
                    builder.AllowAnyOrigin().WithMethods(
                        HttpMethod.Get.Method,
                        HttpMethod.Put.Method,
                        HttpMethod.Post.Method,
                        HttpMethod.Delete.Method).AllowAnyHeader().WithExposedHeaders("CustomHeader");
                });
    });
services.AddMvcCore()

配置方法

app.UseCors("AllowCors");
app.UseMvc();

A 控制器集具有 EnableCors 属性

[EnableCors("AllowCors")]
public class ControllerA1: Controller

CORS 按预期适用于一组 A 控制器（通过浏览器测试）。然而，它也适用于 B 控制器！我什至尝试使用 DisableCors 属性显式禁用 CORS：

[DisableCors]
public class ControllerB1: Controller

但是，无论如何都可以从 UI 请求 ControllerB1 控制器。

B1 控制器浏览器中的标头

要求

Provisional headers are shown
Origin: http://localhost:5000
Referer: http://localhost:5000/all
User-Agent: Mozilla/5.0 AppleWebKit Chrome/69 Safari/537

回复

Request URL: http://XX.XX.XX.XX/getall
Request Method: GET
Status Code: 200 OK
Remote Address: XX.XX.XX.XX:80
Referrer Policy: no-referrer-when-downgrade
Access-Control-Allow-Origin: *
Access-Control-Expose-Headers: CustomCount        
Content-Type: application/xml; charset=utf-8
Server: Kestrel

您能否建议如何禁用特定控制器的 CORS？

Answer 1

在您的示例中，您在设置 WebHost 时做了两件值得注意的事情：

1. 创建了一个名为 的自定义 CORS 策略AllowCors。
2. 将 CORS 中间件添加到管道中，该管道用作AllowCors其policyName.

Invoke以下是CORS 中间件调用的函数片段：

public async Task Invoke(HttpContext context)
{
    if (context.Request.Headers.ContainsKey(CorsConstants.Origin))
    {
        var corsPolicy = _policy ?? await _corsPolicyProvider?.GetPolicyAsync(context, _corsPolicyName);
        if (corsPolicy != null)
        {
            var corsResult = _corsService.EvaluatePolicy(context, corsPolicy);
            _corsService.ApplyResult(corsResult, context.Response);

    ...

在此片段中，_policyisnull和_corsPolicyNameis AllowCors。由于AllowCors是使用添加的有效策略的名称AddCors，这会导致 CORS 中间件为所有请求应用相关的 CORS 标头。

在您的示例中，您还使用了[EnableCors(...)]和[DisableCors]，它们是 MVC 授权过滤器。通过这样做，您主要是告诉 MVC 处理 CORS，它独立于您添加到 WebHost 管道中的 CORS 中间件。

MVC 和 CORS 中间件的组合导致了您意想不到的结果。无论您是否要求它不要使用该属性，中间件都会将 CORS 标头添加到您的请求中[DisableCors]- CORS 中间件甚至不知道此 MVC 概念（过滤器）的存在。

根据此信息，您可以通过以下两种方式之一解决问题：

1. policyName从对 的调用中删除参数UseCors。
2. 删除UseCors呼叫本身。

使用选项 1，如果已使用传递到委托的UseCors参数进行配置，中间件将使用默认策略。AddDefaultPolicyCorsOptionsAddCors

使用选项 2，CORS 中间件被简单地从管道中排除。这也适用于您的示例，因为您已经在[EnableCors(...)]需要的地方使用了它。这也意味着您根本不需要使用[DisableCors]- 它默认不添加 CORS 标头。

这就提出了一个问题：什么时候有用 [DisableCors]？例如，考虑以下基本控制器：

[EnableCors("AllowCors")]
public class ExampleController : ControllerBase
{
    public IActionResult Action1() =>
        ...

    public IActionResult Action2() =>
        ...
}

很明显，在此示例中， 和Action1都会Action2设置 CORS 标头。如果您不想设置Action2标题，可以用 进行注释[DisableCors]。