那些遇到过的问题

ASP.NET Core:带有 OPTIONS 异常的 Windows 身份验证(CORS 预检)

kol*_*kol 2 same-origin-policy cors preflight asp.net-core angular

我正在开发一个单页网络应用程序。它具有ASP.NET Core 3后端和Angular 9前端。我在 Visual Studio 中的 IIS Express 上运行后端,网址为http://localhost:59280。前端在 Visual Studio Code 中运行,使用ng servehttp ://localhost:4200。之前我不需要在后端开启 CORS,因为我只在 Chrome 中测试了应用程序,添加--disable-web-security命令行参数就足以关闭同源策略。在实时服务器上不需要 CORS,上述跨域情况仅发生在我的开发机器上。

现在我想在 Firefox 中调试前端,但由于无法关闭 Firefox 的同源策略,所以我必须在后端打开 CORS。不幸的是,它不起作用,因为我使用 Windows 身份验证,并且它会停止默认未经身份验证的CORS 预检请求如果我可以在没有 Windows 身份验证的情况下处理 HTTP OPTIONS 请求,则可以解决此问题。我认为这可以通过在web.config中添加类似的内容来完成:

<system.webServer>
  <security>
    <authentication>
      <anonymousAuthentication enabled="true" />
    </authentication>
    <authorization>
      <add accessType="Allow" verbs="OPTIONS" users="*" />
    </authorization>
  </security>
</system.webServer>
Run Code Online (Sandbox Code Playgroud)

...但我收到一条错误消息:“此配置节不能在此路径上使用。当该节被锁定在父级别时,就会发生这种情况。” 显然 web.config 与launchSettings.json冲突,后者似乎在 Visual Studio 中的 IIS Express 上运行后端时控制身份验证,使用以下两行:

{
  "iisSettings": {
    "windowsAuthentication": true,
    "anonymousAuthentication": false,
    ...
Run Code Online (Sandbox Code Playgroud)

我不知道如何仅使用 launchSettings.json 单独关闭 HTTP OPTIONS 请求的 Windows 身份验证。

有没有办法在 ASP.NET Core 3 应用程序中单独关闭 HTTP OPTIONS 请求的 Windows 身份验证?

kol*_*kol 5

1)上述 web.config 设置有效,我只需解锁 .vs 目录中 applicationhost.config 中的“anonymousAuthentication”部分:<section name="anonymousAuthentication" overrideModeDefault="Allow" />。launchSettings.json 中“anonymousAuthentication”参数的值并不重要。

2)按照@MartinStaufcik的建议,我在StartUp.Configure()的开头添加了一个中间件,它响应预检请求(MDN):

app.Use(async (context, next) => {
  if (context.Request.Method == "OPTIONS") {
    context.Response.StatusCode = 204;
    context.Response.Headers.Add("Access-Control-Allow-Origin", context.Request.Headers["Origin"]);
    context.Response.Headers.Add("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    context.Response.Headers.Add("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
    context.Response.Headers.Add("Access-Control-Allow-Credentials", "true");
    return;
  }
  await next();
});
Run Code Online (Sandbox Code Playgroud)

3)我还必须{ withCredentials: true }在 Angular 9 前端添加 HttpClient.post() 的参数。如果没有这个,OPTIONS 请求会得到 204,但后续的 POST 会得到 401。

归档时间:

查看次数:

2403 次

最近记录:

5 年,4 月 前
处理对ASP.NET MVC操作的CORS预检请求 50
如何使用 Windows 身份验证在 IIS 上授权 CORS 预检请求 6
更多相关链接
相关归档
Angular中angular.copy的替代方法是什么 124
Angular2 - root相对导入 36
离子2 - 如何管理全局变量? 23
如何在Angular 2中解析xml 20
如何以现代角度从孙辈到祖父母发出事件? 19
在Angular 7项目中导入JSON 10
如何在ASP vNext中使用Sessions 6
在Rest Controller中删除方法Cors问题 5
如何在 CherryPy 中设置 CORS 4
如何在 Rider 中启用视图热重载? 3
难疑归档
什么是"大O"符号的简单英语解释? 4851
如何在Python中复制文件? 2171
获取屏幕大小,当前网页和浏览器窗口 1927
迭代对象属性 1904
确定对象的类型? 1700
命令折叠代码的所有部分? 1576
你什么时候使用git rebase而不是git merge? 1461
在文本框中的Enter键上使用JavaScript触发按钮单击 1250
如何使用Python连接MySQL数据库? 1117
在Python中将两个列表转换为字典 1101