ASP.NET Core Web API 跨域(CORS) Cookie问题

小鱼儿 2021-10-26 16:24 404阅读 0赞

身为一个Web API，处理来自跨域不同源的请求，是一件十分合理的事情。

先上已有的文章，快速复制粘贴，启用CORS:

[Microsoft：启用 ASP.NET Core 中的跨域请求 (CORS)][Microsoft_ ASP.NET Core _ _CORS]

[ASP.NET Core 配置跨域（CORS）][ASP.NET Core _CORS]

如果按照以上文章，一步一步操作，你会发现，虽然能跨域请求了，但是即使客户端开了（**xhr.withCredentials = true**）也无法将Cookie发送给API。

关于**AllowAnyOrigin**

这是因为请求的首部中携带了 Cookie 信息，如果 Access-Control-Allow-Origin 的值为“*”，请求将会失败。而将 Access-Control-Allow-Origin 的值设置为 http://foo.example，则请求将成功执行。

PS: 虽然API用Cookie不是很合理，但有时旧接口改造升级却不得不瞎搞,呵呵。

**为什么？**

先看遍原理：

[阮一峰的网络日志: 跨域资源共享 CORS 详解][_ CORS]

在来篇详细的：

[MDN: HTTP访问控制（CORS）][MDN_ HTTP_CORS]

[MDN: HTTP cookies][MDN_ HTTP cookies]

进一步了解:

[紫云飞: SameSite Cookie，防止 CSRF 攻击][SameSite Cookie_ CSRF]

跳过简单请求和预检请求不谈（不代表不重要），我们会发现一个叫**SameSite**的东西，是它告诉浏览器不要将Cookie发给非同源的Web API的,默认情况下，ASP.NET Core Web API 是启用的。所以配置下关闭即可。

......
    
    services.AddCors(options =>
    {
        options.AddPolicy("any", policyBuilder =>
        {
            policyBuilder.AllowAnyMethod()
                .AllowAnyHeader()
                //.WithMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "DEBUG");
                .AllowCredentials();//指定处理cookie
    
            var cfg = Configuration.GetSection("AllowedHosts").Get<List<string>>();
            if (cfg == null || cfg.Contains("*")) policyBuilder.AllowAnyOrigin(); //允许任何来源的主机访问
            else policyBuilder.WithOrigins(cfg.ToArray()); //允许类似http://localhost:8080等主机访问
        });
    });
    
    services.Configure<CookiePolicyOptions>(options =>
    {
        // This lambda determines whether user consent for non-essential cookies is needed for a given request.
        options.CheckConsentNeeded = context => true;
        options.MinimumSameSitePolicy = SameSiteMode.None;
    });
    
    .....
    
    app.UseCors("any");
    app.UseCookiePolicy();

或

.....
    
    services.AddCors(options =>
    {
        options.AddPolicy("any", policyBuilder =>
        {
            policyBuilder.AllowAnyMethod()
                .AllowAnyHeader()
                //.WithMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "DEBUG");
                .AllowCredentials();//指定处理cookie
    
            var cfg = Configuration.GetSection("AllowedHosts").Get<List<string>>();
            if (cfg == null || cfg.Contains("*")) policyBuilder.AllowAnyOrigin(); //允许任何来源的主机访问
            else policyBuilder.WithOrigins(cfg.ToArray()); //允许类似http://localhost:8080等主机访问
        });
    });
    
    
    services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
        .AddCookie(configureOptions =>
        {
            configureOptions.Cookie.SameSite = Microsoft.AspNetCore.Http.SameSiteMode.None;
        });
    
    ......
    
    app.UseCors("any");
    app.UseAuthentication();

## 参考 ##

[https://docs.microsoft.com/zh-cn/aspnet/core/security/cors][Microsoft_ ASP.NET Core _ _CORS]

[http://www.ruanyifeng.com/blog/2016/04/cors.html][_ CORS]

[https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access\_control\_CORS][MDN_ HTTP_CORS]

[https://www.cnblogs.com/ziyunfei/p/5637945.html][SameSite Cookie_ CSRF]

## 声明 ##

本文采用[知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议][-_-_ 2.5]进行许可，发表在[CSDN][]和[博客园][Link 1]，欢迎读者转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文连接！请读者/爬虫们尊重`版权`

转载于:https://www.cnblogs.com/chasingdreams2017/p/11318083.html

[Microsoft_ ASP.NET Core _ _CORS]: https://docs.microsoft.com/zh-cn/aspnet/core/security/cors
[ASP.NET Core _CORS]: https://www.cnblogs.com/stulzq/p/9392150.html
[_ CORS]: http://www.ruanyifeng.com/blog/2016/04/cors.html
[MDN_ HTTP_CORS]: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
[MDN_ HTTP cookies]: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies#SameSite_Cookies
[SameSite Cookie_ CSRF]: https://www.cnblogs.com/ziyunfei/p/5637945.html
[-_-_ 2.5]: https://creativecommons.org/licenses/by-nc-sa/2.5/cn/
[CSDN]: https://blog.csdn.net/hatmen2
[Link 1]: http://www.cnblogs.com/chasingdreams2017/