CORS：凭据模式为“包含”

Question 1

是的，我知道您在想什么-另一个CORS问题，但是这次我很困惑。

因此，开始时，实际的错误消息为：

XMLHttpRequest无法加载http：//localhost/Foo.API/token。当请求的凭据模式为'include'时，响应中'Access-Control-Allow-Origin'标头的值不得为通配符'* '。因此，不允许访问源' http：// localhost：5000 '。XMLHttpRequest发起的请求的凭据模式由withCredentials属性控制。

我不确定凭证模式的含义是'include'吗？

因此，当我在邮递员中执行请求时，没有遇到这样的错误：

但是，当我通过我的angularjs Web应用访问相同的请求时，我为这个错误感到困惑。这是我的angualrjs请求/响应。如您所见，响应为OK 200，但我仍然收到CORS错误：

提琴手的请求和响应：

下图演示了Web前端对API的请求和响应

因此，根据我在网上阅读的所有其他帖子，似乎我在做正确的事情，这就是为什么我无法理解该错误的原因。最后，这是我在angualrjs（登录工厂）中使用的代码：

API中的CORS实现-参考目的：

方法1：

public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        EnableCrossSiteRequests(config);
    }

    private static void EnableCrossSiteRequests(HttpConfiguration config)
    {
        var cors = new EnableCorsAttribute("*", "*", "*")
        {
            SupportsCredentials = true
        };
        config.EnableCors(cors);
    }
}

使用的方法2：

public void Configuration(IAppBuilder app)
{
    HttpConfiguration config = new HttpConfiguration();

    ConfigureOAuth(app);

    WebApiConfig.Register(config);
    app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
    app.UseWebApi(config);

}

提前谢谢了！

Question 2

问题源于您的Angular代码：

什么时候 withCredentials设置为true时，它将尝试与请求一起发送凭据或cookie。因为这意味着另一个来源可能正在尝试执行经过身份验证的请求，所以不允许将通配符（“ *”）用作“ Access-Control-Allow-Origin”标头。

您必须在“ Access-Control-Allow-Origin”标头中明确发出请求的来源，才能使此工作生效。

我建议将要允许进行身份验证的请求的来源明确列入白名单，因为仅用请求中的来源进行响应就意味着如果用户碰巧有一个有效的会话，则任何给定的网站都可以对您的后端进行身份验证的调用。

我在前一段时间写的这篇文章中解释了这些内容。

因此，您可以将其设置withCredentials为false或实施来源白名单，并在涉及凭据时以有效的来源响应CORS请求

Question 3

如果您使用的是CORS中间件，并且想发送withCredentials布尔值true，则可以这样配置CORS：

var cors = require('cors');    
app.use(cors({credentials: true, origin: 'http://localhost:5000'}));

展开摘要

`

Question 4

自定义Angular 5和Spring Security的CORS（Cookie基本解决方案）

在Angular方面，需要withCredentials: true为Cookie传输添加选项标志：

constructor(public http: HttpClient) {
}

public get(url: string = ''): Observable<any> {
    return this.http.get(url, { withCredentials: true });
}

在Java服务器端上，需要添加CorsConfigurationSource配置CORS策略：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        // This Origin header you can see that in Network tab
        configuration.setAllowedOrigins(Arrays.asList("http:/url_1", "http:/url_2")); 
        configuration.setAllowedMethods(Arrays.asList("GET","POST"));
        configuration.setAllowedHeaders(Arrays.asList("content-type"));
        configuration.setAllowCredentials(true);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()...
    }
}

configure(HttpSecurity http)默认情况下，方法将corsConfigurationSource用于http.cors()

Question 5

如果有帮助，我在我的reactjs应用程序中使用了离心机，在检查了以下一些注释之后，我查看了centrifuge.js库文件，该文件在我的版本中具有以下代码段：

if ('withCredentials' in xhr) {
 xhr.withCredentials = true;
}

在删除了这三行之后，该应用程序按预期运行正常。

希望能帮助到你！

Question 6

如果使用的是.NET Core，则在Startup.CS中配置CORS时必须使用.AllowCredentials（）。

在ConfigureServices内部

services.AddCors(o => {
    o.AddPolicy("AllowSetOrigins", options =>
    {
        options.WithOrigins("https://localhost:xxxx");
        options.AllowAnyHeader();
        options.AllowAnyMethod();
        options.AllowCredentials();
    });
});

services.AddMvc();

然后在Configure里面：

app.UseCors("AllowSetOrigins");
app.UseMvc(routes =>
    {
        // Routing code here
    });

对我来说，只是缺少options.AllowCredentials（）导致了您提到的错误。通常，对于其他也有CORS问题的用户，要注意的是，顺序很重要，并且必须在Startup类中的AddMVC（）之前注册AddCors（）。