WithOrigins部分覆蓋訪問控制允許來源.NetCore API

Question

在我Startup.cs我有

app.UseCors(builder => builder.WithOrigins("https://acme.com")); 

在我的web.config我有

<configuration> 
<system.webServer> 
    <httpProtocol> 
    <customHeaders> 
    <add name="Accept-Encoding" value="gzip, deflate, sdch" /> 
    <add name="Access-Control-Allow-Origin" value="*"/>   
    <add name="Access-Control-Allow-Headers" value="Origin..." /> 

當我提交一個Ajax請求像這樣告訴我，ACAO只允許一個值，我有多個「https://acme.com，*」。

當我完全刪除values部分時，出現相同的錯誤，但不是列出我的出處，而是開始列出Allow-Access-Control-Headers標記中的值。

當我完全刪除ACAO標籤時，可以理解的告訴我沒有標籤。

如果我的配置中有WithOrigins規範，ACAO標籤應該是什麼樣子？

Answer 1

問題不清楚您實際想要允許的來源。看來你的選擇是：

• 如果你想允許只是https://acme.com，那麼你可以從你的web.config和服務器刪除<add name="Access-Control-Allow-Origin" value="*"/>線仍將發送Access-Control-Allow-Origin: https://acme.com響應頭。

• 如果要允許所有來源，app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll)是要使用，而不是和那種情況下，你要還滴只是 <add name="Access-Control-Allow-Origin" value="*"/>從web.config行，因爲服務器已經發送Access-Control-Allow-Origin: *什麼允許所有的起源。

---

你也可以指定允許的頭在你的app.UseCors通話，就像這樣：

app.UseCors(builder => builder.WithOrigins("https://acme.com") 
           .WithHeaders("Authorization", "Location")); 

注意，你不應該需要有指定Origin頭，因爲瀏覽器不要」 t要求Origin位於Access-Control-Allow-Headers以允許它被允許。 （因爲Origin頭設置，並通過瀏覽器本身的請求而發送的;它不是一個「自定義」報頭。）

如果你只想讓所有的請求頭，可以改爲做到這一點：

app.UseCors(builder => builder.WithOrigins("https://acme.com") 
           .AllowAnyHeader()); 

如果您使用.WithHeaders(…)或.AllowAnyHeader()頭那裏，你可以接着也web.config

Answer 2

這其實是別人的項目，請在<add name="Access-Control-Allow-Headers" value="Origin..."/>線，所以我不知道在web.config中的條目來自與開始。我完全刪除了網絡配置的<httpprotocol>部分，得到了AddCors()使用的正常過程的工作：

app.UseCors(builder => 
     { 
      builder.WithOrigins("http://acme.com"); 
     }); 

它好像有在web.config的<httpProtocol>標籤是導致它在查找兩個地方的信息只應該出現一次。