Access-control-allow-origin с несколькими доменами


100

В моем web.config я хотел бы указать более одного домена для access-control-allow-originдирективы. Я не хочу использовать *. Я пробовал этот синтаксис:

<add name="Access-Control-Allow-Origin" value="http://localhost:1506, http://localhost:1502" />

вот этот

<add name="Access-Control-Allow-Origin" value="http://localhost:1506 http://localhost:1502" />

вот этот

<add name="Access-Control-Allow-Origin" value="http://localhost:1506; http://localhost:1502" />

и этот

<add name="Access-Control-Allow-Origin" value="http://localhost:1506" />
<add name="Access-Control-Allow-Origin" value="http://localhost:1502" />

но ни один из них не работает. Какой правильный синтаксис?

Ответы:


80

Access-Control-Allow-OriginЗаголовок ответа может быть только один , и этот заголовок может иметь только одно значение источника. Следовательно, чтобы заставить это работать, вам нужен код, который:

  1. Берет Originзаголовок запроса.
  2. Проверяет, является ли исходное значение одним из значений из белого списка.
  3. Если он действителен, устанавливает Access-Control-Allow-Originзаголовок с этим значением.

Я не думаю, что есть способ сделать это только через web.config.

if (ValidateRequest()) {
    Response.Headers.Remove("Access-Control-Allow-Origin");
    Response.AddHeader("Access-Control-Allow-Origin", Request.UrlReferrer.GetLeftPart(UriPartial.Authority));

    Response.Headers.Remove("Access-Control-Allow-Credentials");
    Response.AddHeader("Access-Control-Allow-Credentials", "true");

    Response.Headers.Remove("Access-Control-Allow-Methods");
    Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
}

2
Это отвечает на мой вопрос. Я не уверен, почему Microsoft не позволяет указывать несколько источников в файле web.config ....
Сэм,

17
Где я могу добавить этот код? У меня есть простые текстовые файлы, созданные сервером и прочитанные через AJAX, без кода. Где я могу разместить код для ограничения доступа к текстовым файлам в моем каталоге?
Гарри

3
@Simon_Weaver есть *значение, позволяющее любому источнику получить доступ к ресурсу. Однако исходный вопрос касался внесения в белый список набора доменов.
монсур

2
Поскольку я новичок в asp .net, могу ли я спросить, где я могу поместить этот код в свой проект asp .net web api?
Амрит

93

Для IIS 7.5+ и Rewrite 2.0 вы можете использовать:

<system.webServer>
   <httpProtocol>
     <customHeaders>
         <add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept" />
         <add name="Access-Control-Allow-Methods" value="POST,GET,OPTIONS,PUT,DELETE" />
     </customHeaders>
   </httpProtocol>
        <rewrite>            
            <outboundRules>
                <clear />                
                <rule name="AddCrossDomainHeader">
                    <match serverVariable="RESPONSE_Access_Control_Allow_Origin" pattern=".*" />
                    <conditions logicalGrouping="MatchAll" trackAllCaptures="true">
                        <add input="{HTTP_ORIGIN}" pattern="(http(s)?://((.+\.)?domain1\.com|(.+\.)?domain2\.com|(.+\.)?domain3\.com))" />
                    </conditions>
                    <action type="Rewrite" value="{C:0}" />
                </rule>           
            </outboundRules>
        </rewrite>
 </system.webServer>

Объяснение RESPONSE_Access_Control_Allow_Originчасти переменной сервера :
в Rewrite вы можете использовать любую строку после, RESPONSE_и он создаст заголовок ответа, используя остальную часть слова в качестве имени заголовка (в данном случае Access-Control-Allow-Origin). Rewrite использует подчеркивание «_» вместо тире «-» (rewrite преобразует их в тире)

Объяснение переменной сервера HTTP_ORIGIN:
аналогично, в Rewrite вы можете получить любой заголовок запроса, используя HTTP_в качестве префикса. Те же правила с тире (используйте подчеркивание «_» вместо тире «-»).


Можете ли вы представить себе причины, по которым это не работает с IIS 7.5?
Фил Рикеттс

Думаю, должно сработать. Я указал версию IIS 8.5, потому что именно там я ее тестировал.
Пако Сарате

4
@PacoZarate Хороший, отличный совет. Чтобы упростить регулярное выражение и сделать его более универсальным, вы можете использовать - (http(s)?:\/\/((.+\.)?(domain1|domain2)\.(com|org|net))). Таким образом, вы можете легко добавлять другие домены и поддерживать несколько доменов верхнего уровня (например, com, org, net и т. Д.).
Мерлин

4
Просто попробовал это в IIS 7.5. Кажется, все работает нормально.
Prescient

2
Проблемы с кешированием? После настройки web.config первый веб-сайт, на который я перехожу, соответствует требованиям, но второй возвращает тот же заголовок, что и первый. Таким образом, домены не слишком совпадают.
Airn5475

21

В Web.API этот атрибут можно добавить, используя, Microsoft.AspNet.WebApi.Corsкак подробно описано на http://www.asp.net/web-api/overview/security/enpting-cross-origin-requests-in-web-api.

В MVC вы можете создать атрибут фильтра, который сделает эту работу за вас:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method,
                AllowMultiple = true, Inherited = true)]
public class EnableCorsAttribute : FilterAttribute, IActionFilter {
    private const string IncomingOriginHeader = "Origin";
    private const string OutgoingOriginHeader = "Access-Control-Allow-Origin";
    private const string OutgoingMethodsHeader = "Access-Control-Allow-Methods";
    private const string OutgoingAgeHeader = "Access-Control-Max-Age";

    public void OnActionExecuted(ActionExecutedContext filterContext) {
        // Do nothing
    }

    public void OnActionExecuting(ActionExecutingContext filterContext)
    {
        var isLocal = filterContext.HttpContext.Request.IsLocal;
        var originHeader = 
             filterContext.HttpContext.Request.Headers.Get(IncomingOriginHeader);
        var response = filterContext.HttpContext.Response;

        if (!String.IsNullOrWhiteSpace(originHeader) &&
            (isLocal || IsAllowedOrigin(originHeader))) {
            response.AddHeader(OutgoingOriginHeader, originHeader);
            response.AddHeader(OutgoingMethodsHeader, "GET,POST,OPTIONS");
            response.AddHeader(OutgoingAgeHeader, "3600");
        }
    }

    protected bool IsAllowedOrigin(string origin) {
        // ** replace with your own logic to check the origin header
        return true;
    }
}

Затем либо включите его для определенных действий / контроллеров:

[EnableCors]
public class SecurityController : Controller {
    // *snip*
    [EnableCors]
    public ActionResult SignIn(Guid key, string email, string password) {

Или добавьте его для всех контроллеров в Global.asax.cs

protected void Application_Start() {
    // *Snip* any existing code

    // Register global filter
    GlobalFilters.Filters.Add(new EnableCorsAttribute());
    RegisterGlobalFilters(GlobalFilters.Filters);

    // *snip* existing code
}

Вы знаете, для каких версий .Net / MVC это работает?
Keab42

Я успешно использую это в .net 4 / MVC 3 - насколько мне известно, он должен работать в более поздних версиях, но может быть предпочтительный способ регистрации глобального фильтра в более поздних версиях MVC.
Роб Черч

просто обратите внимание на его решение WEB API 2. не для WEB API 1.
Samih A

5

Прочитав все ответы и попробовав их, ни один из них мне не помог. Во время поиска я обнаружил, что вы можете создать настраиваемый атрибут, который затем можно добавить в свой контроллер. Он перезаписывает EnableCors и добавляет в него домены из белого списка.

Это решение работает хорошо, потому что оно позволяет вам иметь домены из белого списка в webconfig (appsettings) вместо того, чтобы кодировать их в атрибуте EnableCors на вашем контроллере.

 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)]
public class EnableCorsByAppSettingAttribute : Attribute, ICorsPolicyProvider
{
    const string defaultKey = "whiteListDomainCors";
    private readonly string rawOrigins;
    private CorsPolicy corsPolicy;

    /// <summary>
    /// By default uses "cors:AllowedOrigins" AppSetting key
    /// </summary>
    public EnableCorsByAppSettingAttribute()
        : this(defaultKey) // Use default AppSetting key
    {
    }

    /// <summary>
    /// Enables Cross Origin
    /// </summary>
    /// <param name="appSettingKey">AppSetting key that defines valid origins</param>
    public EnableCorsByAppSettingAttribute(string appSettingKey)
    {
        // Collect comma separated origins
        this.rawOrigins = AppSettings.whiteListDomainCors;
        this.BuildCorsPolicy();
    }

    /// <summary>
    /// Build Cors policy
    /// </summary>
    private void BuildCorsPolicy()
    {
        bool allowAnyHeader = String.IsNullOrEmpty(this.Headers) || this.Headers == "*";
        bool allowAnyMethod = String.IsNullOrEmpty(this.Methods) || this.Methods == "*";

        this.corsPolicy = new CorsPolicy
        {
            AllowAnyHeader = allowAnyHeader,
            AllowAnyMethod = allowAnyMethod,
        };

        // Add origins from app setting value
        this.corsPolicy.Origins.AddCommaSeperatedValues(this.rawOrigins);
        this.corsPolicy.Headers.AddCommaSeperatedValues(this.Headers);
        this.corsPolicy.Methods.AddCommaSeperatedValues(this.Methods);
    }

    public string Headers { get; set; }
    public string Methods { get; set; }

    public Task<CorsPolicy> GetCorsPolicyAsync(HttpRequestMessage request,
                                               CancellationToken cancellationToken)
    {
        return Task.FromResult(this.corsPolicy);
    }
}

    internal static class CollectionExtensions
{
    public static void AddCommaSeperatedValues(this ICollection<string> current, string raw)
    {
        if (current == null)
        {
            return;
        }

        var paths = new List<string>(AppSettings.whiteListDomainCors.Split(new char[] { ',' }));
        foreach (var value in paths)
        {
            current.Add(value);
        }
    }
}

Я нашел это руководство в Интернете, и оно отлично сработало:

http://jnye.co/Posts/2032/dynamic-cors-origins-from-appsettings-using-web-api-2-2-cross-origin-support

Я думал, что брошу это здесь для всех, кто в этом нуждается.


Это ответ только по ссылке. Пожалуйста, постарайтесь, чтобы ответ стоял сам по себе.
Unslander Monica

1
Хорошо, я здесь новенький, это больше похоже на то, что должно быть ??
Helpha

3

Мне удалось решить эту проблему в коде обработки запросов по совету «monsur».

string origin = WebOperationContext.Current.IncomingRequest.Headers.Get("Origin");

WebOperationContext.Current.OutgoingResponse.Headers.Add("Access-Control-Allow-Origin", origin);

Это, например, способ сделать в веб-форме. Просто используйте Request.Headers, когда это возможно. И, при необходимости, используйте белый список для фильтрации только разрешенных доменов.
AFract

3
Это все равно, что добавить <add name = "Access-Control-Allow-Origin" value = "*" /> в файл web.config
Isaiah4110

3

Для IIS 7.5+ вы можете использовать модуль IIS CORS: https://www.iis.net/downloads/microsoft/iis-cors-module

Ваш web.config должен выглядеть примерно так:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <cors enabled="true" failUnlistedOrigins="true">
            <add origin="http://localhost:1506">
                <allowMethods>                    
                    <add method="GET" />
                    <add method="HEAD" />
                    <add method="POST" />
                    <add method="PUT" /> 
                    <add method="DELETE" /> 
                </allowMethods>
            </add>
            <add origin="http://localhost:1502">
                <allowMethods>
                    <add method="GET" />
                    <add method="HEAD" />
                    <add method="POST" />
                    <add method="PUT" /> 
                    <add method="DELETE" /> 
                </allowMethods>
            </add>
        </cors>
    </system.webServer>
</configuration>

Вы можете найти ссылку на конфигурацию здесь: https://docs.microsoft.com/en-us/iis/extensions/cors-module/cors-module-configuration-reference


Если это работает так, как написано, я бы хотел, чтобы вы опубликовали это 3 года назад! Эй!
Майкл


1

Вы можете добавить этот код в свой проект asp.net webapi

в файле Global.asax

    protected void Application_BeginRequest()
{
    string origin = Request.Headers.Get("Origin");
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Origin", origin);
        Response.AddHeader("Access-Control-Allow-Headers", "*");
        Response.AddHeader("Access-Control-Allow-Methods", "GET,POST,PUT,OPTIONS,DELETE");
        Response.StatusCode = 200;
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Origin", origin);
        Response.AddHeader("Access-Control-Allow-Headers", "*");
        Response.AddHeader("Access-Control-Allow-Methods", "GET,POST,PUT,OPTIONS,DELETE");
    }
}

0

Вы можете использовать промежуточное ПО owin для определения политики cors, в которой вы можете определить несколько источников cors.

return new CorsOptions
        {
            PolicyProvider = new CorsPolicyProvider
            {
                PolicyResolver = context =>
                {
                    var policy = new CorsPolicy()
                    {
                        AllowAnyOrigin = false,
                        AllowAnyMethod = true,
                        AllowAnyHeader = true,
                        SupportsCredentials = true
                    };
                    policy.Origins.Add("http://foo.com");
                    policy.Origins.Add("http://bar.com");
                    return Task.FromResult(policy);
                }
            }
        };

-3

Вам нужно всего лишь:

  • добавьте Global.asax в свой проект,
  • удалите <add name="Access-Control-Allow-Origin" value="*" />из вашего web.config.
  • после этого добавьте это в Application_BeginRequestметод Global.asax:

    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin","*");
    
    if (HttpContext.Current.Request.HttpMethod == "OPTIONS")
    {
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Methods", "POST,GET,OPTIONS,PUT,DELETE");
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, Accept");
        HttpContext.Current.Response.End();
    }

Надеюсь, это поможет. это работает для меня.


Добавление «...- Origin: *» работает, за исключением случаев, когда вы разрешаете учетные данные. Если для параметра allow-credentials установлено значение true, вам необходимо указать домен (а не просто *). Вот в чем суть проблемы. В противном случае вы можете просто указать "... allow-credentials: false" и покончить с этим.
Ричард
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.