我有一些Web API
个端点没有身份验证/授权,因为它也可以用于访客用户。这些端点将直接通过XHR/Ajax/JS
使用。但是,我想允许来自少数几个来源的请求。为此,我使用了下面的Cors
中间件:
配置服务方法
services.AddCors(options =>
{
options.AddPolicy("AllowSpecific", builder =>
builder.WithOrigins("http://localhost:55476")
.AllowAnyHeader()
.AllowAnyMethod());
});
配置方法
app.UseCors("AllowSpecific");
此限制适用于来自浏览器的请求。但是,如果请求来自Http客户端,例如Postman
,Fiddler
等,则请求会通过。
有没有办法解决这种情况?
答案 0 :(得分:1)
由于目前缺少更好的替代方案,我已将CORS
中间件替换为自定义中间件,该中间件将检查每个请求的标头Origin
并根据配置允许/限制。这适用于跨浏览器请求和HTTP客户端请求。
<强>中间件强>
public class OriginRestrictionMiddleware
{
private readonly RequestDelegate _next;
private readonly IConfiguration _configuration;
private readonly ILogger _logger;
public OriginRestrictionMiddleware(RequestDelegate next, IConfiguration configuration, ILoggerFactory loggerFactory)
{
_next = next;
_configuration = configuration;
_logger = loggerFactory.CreateLogger<OriginRestrictionMiddleware>();
}
public Task Invoke(HttpContext context)
{
try
{
var allowedOriginsConfig = _configuration.GetSection("AllowedOrigins").Value;
var allowedOrigins = allowedOriginsConfig.Split(',');
_logger.LogInformation("Allowed Origins: " + allowedOriginsConfig);
var originHeader = context.Request.Headers.Where(h => h.Key == "Origin");
if (originHeader.Any())
{
var requestOrigin = originHeader.First().Value.ToString();
_logger.LogInformation("Request Origin: " + requestOrigin);
foreach (var origin in allowedOrigins)
{
//if(origin.StartsWith(requestOrigin))
if (requestOrigin.Contains(origin))
{
return _next(context);
}
}
}
context.Response.StatusCode = 401;
return context.Response.WriteAsync("Not Authorized");
}
catch(Exception ex)
{
_logger.LogInformation(ex.ToString());
throw;
}
}
}
public static class OriginRestrictionMiddlewareExtension
{
public static IApplicationBuilder UseOriginRestriction(this IApplicationBuilder builder)
{
return builder.UseMiddleware<OriginRestrictionMiddleware>();
}
}
启动配置
app.UseOriginRestriction();
<强> AppSettings.json 强>
"AllowedOrigins": "http://localhost:55476,http://localhost:55477,chrome-extension"
chrome-extension
条目允许Postman
在开发期间提出请求。部署到服务器时将删除它。
我怀疑这种解决方案也可以通过这种或那种方式绕过。但是,我希望它适用于大多数情况。