ASP.NET Core Web API 跨域(CORS) Cookie问题

时间 2020-07-20

标签 asp.net asp core web api cors cookie 问题栏目 ASP 繁體版

原文原文链接

身为一个Web API，处理来自跨域不一样源的请求，是一件十分合理的事情。html

先上已有的文章，快速复制粘贴，启用CORS:跨域

Microsoft：启用 ASP.NET Core 中的跨域请求 (CORS)浏览器

ASP.NET Core 配置跨域（CORS）cookie

若是按照以上文章，一步一步操做，你会发现，虽然能跨域请求了，可是即便客户端开了（xhr.withCredentials = true）也没法将Cookie发送给API。网络

关于AllowAnyOriginapp

这是由于请求的首部中携带了 Cookie 信息，若是 Access-Control-Allow-Origin 的值为“*”，请求将会失败。而将 Access-Control-Allow-Origin 的值设置为 http://foo.example，则请求将成功执行。

PS: 虽然API用Cookie不是很合理，但有时旧接口改造升级却不得不瞎搞,呵呵。cors

为何？ui

先看遍原理：spa

阮一峰的网络日志: 跨域资源共享 CORS 详解.net

在来篇详细的：

MDN: HTTP访问控制（CORS）

MDN: HTTP cookies

进一步了解:

紫云飞: SameSite Cookie，防止 CSRF 攻击

跳过简单请求和预检请求不谈（不表明不重要），咱们会发现一个叫SameSite的东西，是它告诉浏览器不要将Cookie发给非同源的Web API的,默认状况下，ASP.NET Core Web API 是启用的。因此配置下关闭便可。

......

services.AddCors(options =>
{
    options.AddPolicy("any", policyBuilder =>
    {
        policyBuilder.AllowAnyMethod()
            .AllowAnyHeader()
            //.WithMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "DEBUG");
            .AllowCredentials();//指定处理cookie

        var cfg = Configuration.GetSection("AllowedHosts").Get<List<string>>();
        if (cfg == null || cfg.Contains("*")) policyBuilder.AllowAnyOrigin(); //容许任何来源的主机访问
        else policyBuilder.WithOrigins(cfg.ToArray()); //容许相似http://localhost:8080等主机访问
    });
});

services.Configure<CookiePolicyOptions>(options =>
{
    // This lambda determines whether user consent for non-essential cookies is needed for a given request.
    options.CheckConsentNeeded = context => true;
    options.MinimumSameSitePolicy = SameSiteMode.None;
});

.....

app.UseCors("any");
app.UseCookiePolicy();

或

.....

services.AddCors(options =>
{
    options.AddPolicy("any", policyBuilder =>
    {
        policyBuilder.AllowAnyMethod()
            .AllowAnyHeader()
            //.WithMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "DEBUG");
            .AllowCredentials();//指定处理cookie

        var cfg = Configuration.GetSection("AllowedHosts").Get<List<string>>();
        if (cfg == null || cfg.Contains("*")) policyBuilder.AllowAnyOrigin(); //容许任何来源的主机访问
        else policyBuilder.WithOrigins(cfg.ToArray()); //容许相似http://localhost:8080等主机访问
    });
});


services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
    .AddCookie(configureOptions =>
    {
        configureOptions.Cookie.SameSite = Microsoft.AspNetCore.Http.SameSiteMode.None;
    });

......

app.UseCors("any");
app.UseAuthentication();

参考

https://docs.microsoft.com/zh-cn/aspnet/core/security/cors

http://www.ruanyifeng.com/blog/2016/04/cors.html

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

http://www.javashuo.com/article/p-qzhyabmq-bv.html

声明

本文采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可，发表在CSDN和博客园，欢迎读者转载，但未经做者赞成必须保留此段声明，且在文章页面明显位置给出原文链接！请读者/爬虫们尊重版权