CORS asp.net 核心 webapi - 缺少 Access-Control-Allow-Origin 标头

Question

我有启用 CORS 的 ASP.net WebApi Core。它是 Visual Studio ASP.net Core Web API 模板。添加的唯一代码是 CORS 支持代码：

public void ConfigureServices(IServiceCollection services)
        {
            services.Configure<CookiePolicyOptions>(options =>
            {
                // This lambda determines whether user consent for non-essential cookies is needed for a given request.
                options.CheckConsentNeeded = context => true;
                options.MinimumSameSitePolicy = SameSiteMode.None;
            });

            services.AddCors();

            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
       /*  other stuff   */

        app.UseCors(builder => builder
            .WithOrigins("https://localhost:44310")
            .AllowAnyMethod()
            .AllowAnyHeader());

        app.UseMvc();
    }
        }

我的 API 托管在 localhost: 44361和 mycalling WEB 上 localhost: 44310。有不同的端口，所以我的请求来自不同的来源。这就是为什么应该有响应头Access-Control-Allow-Origin的原因。它丢失了，我在浏览器控制台中看到错误：

Access to fetch at 'https://localhost:44361/api/values' 
from origin 'https://localhost:44310' has been blocked by CORS policy: 
No 'Access-Control-Allow-Origin' header is present on the requested resource.
If an opaque response serves your needs, set the request's mode to 'no-cors'
to fetch the resource with CORS disabled.

问题出在哪儿？

请求头：

GET https://localhost:44361/api/values HTTP/1.1
Host: localhost:44361
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Origin: https://localhost:44310
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36
Accept: */*
Referer: https://localhost:44310/
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9

响应头：

HTTP/1.1 200 OK
Transfer-Encoding: chunked
Content-Type: application/json; charset=utf-8
Server: Microsoft-IIS/10.0
X-SourceFiles: =?UTF-8?B?RDpcRGV2ZWxvcG1lbnRcQyNfcHJvZ3JhbW1pbmdcU0FNUExFU1xDb3JzQXBpU2ltdWxhdG9yXENvcmVBcGlcYXBpXHZhbHVlcw==?=
X-Powered-By: ASP.NET
Date: Thu, 16 May 2019 08:37:54 GMT

Answer 1

你可以试试这个吗

  services.AddCors(options =>
        {
            options.AddPolicy("CorsPolicy",
                builder => builder
                    .AllowAnyMethod()
                    .AllowCredentials()
                    .SetIsOriginAllowed((host) => true)
                    .AllowAnyHeader());
        });

并使用它

app.UseCors("CorsPolicy");

此代码适用于任何来源。我只是有类似的东西，当我直接在 app.UseCors() 中使用 cors 时，我遇到了问题，然后我尝试了这个并且它起作用了。ps 不要在 app.UseMvc() 之后使用 app.UseCors()

Answer 2

这可能是由于服务器端错误而发生的，在这种情况下，响应标头会被清除，同时也会清除 CORS 响应标头。尝试启用异常并调试您的应用程序以查找错误。

另请参阅：asp net core - 请求的资源上不存在“Access-Control-Allow-Origin”标头。

Answer 3

如果您有以下情况，则可能会发生这种情况

app.UseHttpsRedirection();

并且Startup.Configure您的开发 https 证书不受浏览器信任。端点上的呼叫http将重定向到https该端点，然后该调用将失败并返回抱怨 CORS 标头的错误。

调试起来非常令人沮丧。就这样浪费了一个上午的时间。