ASP.NET Core Web API 跨域(CORS) Cookie問題
身為一個Web API,處理來自跨域不同源的請求,是一件十分合理的事情。
先上已有的文章,快速複製貼上,啟用CORS:
Microsoft:啟用 ASP.NET Core 中的跨域請求 (CORS)
ASP.NET Core 配置跨域(CORS)
如果按照以上文章,一步一步操作,你會發現,雖然能跨域請求了,但是即使客戶端開了(xhr.withCredentials = true)也無法將Cookie傳送給API。
關於AllowAnyOrigin
這是因為請求的首部中攜帶了 Cookie 資訊,如果 Access-Control-Allow-Origin 的值為“*”,請求將會失敗。而將 Access-Control-Allow-Origin 的值設定為 http://foo.example,則請求將成功執行。
PS: 雖然API用Cookie不是很合理,但有時舊介面改造升級卻不得不瞎搞,呵呵。
為什麼?
先看遍原理:
阮一峰的網路日誌: 跨域資源共享 CORS 詳解
在來篇詳細的:
MDN: HTTP訪問控制(CORS)
MDN: HTTP cookies
進一步瞭解:
紫雲飛: SameSite Cookie,防止 CSRF 攻擊
跳過簡單請求和預檢請求不談(不代表不重要),我們會發現一個叫SameSite的東西,是它告訴瀏覽器不要將Cookie發給非同源的Web API的,預設情況下,ASP.NET Core Web API 是啟用的。所以配置下關閉即可。
...... services.AddCors(options => { options.AddPolicy("any", policyBuilder => { policyBuilder.AllowAnyMethod() .AllowAnyHeader() //.WithMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "DEBUG"); .AllowCredentials();//指定處理cookie var cfg = Configuration.GetSection("AllowedHosts").Get<List<string>>(); if (cfg == null || cfg.Contains("*")) policyBuilder.AllowAnyOrigin(); //允許任何來源的主機訪問 else policyBuilder.WithOrigins(cfg.ToArray()); //允許類似http://localhost:8080等主機訪問 }); }); services.Configure<CookiePolicyOptions>(options => { // This lambda determines whether user consent for non-essential cookies is needed for a given request. options.CheckConsentNeeded = context => true; options.MinimumSameSitePolicy = SameSiteMode.None; }); ..... app.UseCors("any"); app.UseCookiePolicy();
或
..... services.AddCors(options => { options.AddPolicy("any", policyBuilder => { policyBuilder.AllowAnyMethod() .AllowAnyHeader() //.WithMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "DEBUG"); .AllowCredentials();//指定處理cookie var cfg = Configuration.GetSection("AllowedHosts").Get<List<string>>(); if (cfg == null || cfg.Contains("*")) policyBuilder.AllowAnyOrigin(); //允許任何來源的主機訪問 else policyBuilder.WithOrigins(cfg.ToArray()); //允許類似http://localhost:8080等主機訪問 }); }); services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(configureOptions => { configureOptions.Cookie.SameSite = Microsoft.AspNetCore.Http.SameSiteMode.None; }); ...... app.UseCors("any"); app.UseAuthentication();
參考
https://docs.microsoft.com/zh-cn/aspnet/core/security/cors
http://www.ruanyifeng.com/blog/2016/04/cors.html
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
https://www.cnblogs.com/ziyunfei/p/5637945.html
宣告
本文采用知識共享署名-非商業性使用-相同方式共享 2.5 中國大陸許可協議進行許可,發表在CSDN和部落格園,歡迎讀者轉載,但未經作者同意必須保留此段宣告,且在文章頁面明顯位置給出原文連線!請讀者/爬蟲們尊重版權