根据我的理解,当相应地启用CORS时,响应模型应该包含以下标题信息(假设我想允许所有内容):
Access-Control-Allow-Origin: *
Access-Control-Allow-Method: *
Access-Control-Allow-Header: *
在Startup中启用它:
public void ConfigureServices(IServiceCollection services)
{
//...
services.AddCors();
services.ConfigureCors(options =>
{
options.AddPolicy("AllowAll", p => p.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader().AllowCredentials());
});
//...
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
//...
app.UseCors("AllowAll");
//...
}
问题是没有返回这些标头,并且在尝试从API请求时出现以下错误:
对预检请求的响应未通过访问控制检查:否 '访问控制允许来源'标题出现在请求的上 资源。起源' http://localhost'因此不允许访问。
答案 0 :(得分:19)
确保在app.UseCors方法中app.UseMvc之前添加Startup.Configure,因为您需要在MVC中间件之前应用CORS中间件。
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
...
//Add CORS middleware before MVC
app.UseCors("AllowAll");
app.UseMvc(...);
}
否则请求将在应用CORS中间件之前完成。这是因为UseMvc调用UseRouter,最终添加RouterMiddleware,并且当找不到请求的路由处理程序时,此中间件仅执行下一个已配置的中间件。