c# - ASP.NET Core 为特定 Controller 禁用 CORS

Question

我的应用程序中有不同的 Controller 集(比如 A 和 B)。需要为 B Controller 启用和禁用 A Controller 的 CORS。我已按以下方式通过策略配置了 CORS:

配置服务方法:

services.AddCors(
    options =>
    {
        options.AddPolicy(
            "AllowCors",
            builder =>
                {
                    builder.AllowAnyOrigin().WithMethods(
                        HttpMethod.Get.Method,
                        HttpMethod.Put.Method,
                        HttpMethod.Post.Method,
                        HttpMethod.Delete.Method).AllowAnyHeader().WithExposedHeaders("CustomHeader");
                });
    });
services.AddMvcCore()

配置方法

app.UseCors("AllowCors");
app.UseMvc();

A 组 Controller 具有 EnableCors 属性

[EnableCors("AllowCors")]
public class ControllerA1: Controller

CORS 按预期适用于一组 A Controller (通过浏览器测试)。但是，它也适用于 B Controller !我什至尝试使用 DisableCors 属性显式禁用 CORS:

[DisableCors]
public class ControllerB1: Controller

但是，无论如何，都可以从 UI 请求 ControllerB1 Controller 。

B1 Controller 的浏览器 header

请求

Provisional headers are shown
Origin: http://localhost:5000
Referer: http://localhost:5000/all
User-Agent: Mozilla/5.0 AppleWebKit Chrome/69 Safari/537

响应

Request URL: http://XX.XX.XX.XX/getall
Request Method: GET
Status Code: 200 OK
Remote Address: XX.XX.XX.XX:80
Referrer Policy: no-referrer-when-downgrade
Access-Control-Allow-Origin: *
Access-Control-Expose-Headers: CustomCount        
Content-Type: application/xml; charset=utf-8
Server: Kestrel

您能否建议如何为特定 Controller 禁用 CORS？

Answer 1

在您的示例中，您在设置 WebHost 时做了两件值得注意的事情:

1. 创建了一个名为 AllowCors 的自定义 CORS 策略.
2. 将 CORS 中间件添加到使用 AllowCors 的管道中作为其 policyName .

这是 Invoke 的片段为 CORS 中间件调用的函数:

public async Task Invoke(HttpContext context)
{
    if (context.Request.Headers.ContainsKey(CorsConstants.Origin))
    {
        var corsPolicy = _policy ?? await _corsPolicyProvider?.GetPolicyAsync(context, _corsPolicyName);
        if (corsPolicy != null)
        {
            var corsResult = _corsService.EvaluatePolicy(context, corsPolicy);
            _corsService.ApplyResult(corsResult, context.Response);

    ...

在此代码段中，_policy是null和 _corsPolicyName是AllowCors .因为AllowCors是使用 AddCors 添加的有效策略的名称，这会导致 CORS 中间件为所有请求 应用相关的 CORS header 。

在您的示例中，您还同时使用了 [EnableCors(...)]和 [DisableCors] ，它们是 MVC 授权过滤器。通过这样做，您主要只是告诉 MVC 处理 CORS，它独立于您已添加到 WebHost 管道的 CORS 中间件。

这种 MVC 和 CORS 中间件的组合导致了您的意外结果。中间件正在将 CORS header 添加到您的请求中，不管您是否通过使用 [DisableCors] 请求它这样做属性 - CORS 中间件甚至不知道这个 MVC 概念(过滤器)的存在。

根据此信息，您可以通过以下两种方式之一解决您的问题:

1. 删除 policyName来自您对 UseCors 的调用的参数.
2. 删除 UseCors调用自己。

对于选项 1，UseCors中间件将使用默认策略，如果它是使用 AddDefaultPolicy 配置的在 CorsOptions 上传入了AddCors代表。

对于选项 2，CORS 中间件只是从管道中排除。这也适用于您的示例，因为您使用了 [EnableCors(...)]在你需要的地方。这也意味着您不需要使用 [DisableCors]完全没有——默认情况下不添加 CORS header 。

这提出了一个问题:什么时候 [DisableCors]有用吗？例如，考虑以下基本 Controller :

[EnableCors("AllowCors")]
public class ExampleController : ControllerBase
{
    public IActionResult Action1() =>
        ...

    public IActionResult Action2() =>
        ...
}

很明显，在这个例子中，Action1和 Action2将设置 CORS header 。如果你不想要Action2要设置标题，您可以使用 [DisableCors] 对其进行注释.