El comportamiento de AllowAnyHeader () parece haber cambiado entre 2.0 y 2.2-preview3 y esto causa problemas con Firefox.
Anteriormente, las solicitudes de verificación previa devolvían un encabezado de control de acceso que contenía los encabezados de la solicitud del cliente. Esto parece haber cambiado, por lo que el servidor ahora devuelve una respuesta comodín ('*').
Desafortunadamente, la respuesta del comodín parece causar problemas con Firefox. Sin embargo, Chrome y Edge funcionan correctamente.
Informado originalmente en: https://github.com/IdentityServer/IdentityServer4/issues/2731.
Allí encontrará más detalles, incluidos algunos pasos de reproducción.
Regrese al comportamiento anterior, en lugar de devolver la respuesta comodín
¿Probablemente relacionado con https://github.com/aspnet/AspNetCore/issues/3106 ?
¡Gracias por reportar el error! Parece un problema con Firefox. Cambiamos el código para reflejar Access-Control-Request-Headers
y Access-Control-Request-Method
cuando la política admite comodines. Ya estábamos haciendo esto cuando la política se configuró para admitir credenciales. Continuaremos respondiendo con *
en el encabezado Access-Control-Allow-Origin
si la política está configurada para admitir todos los orígenes y admite credenciales. Esta es una mitigación para # 3106.
Confirmado que esto funciona ahora usando la última compilación nocturna (2.2.100-rtm-009571)