Aspnetcore: HTTP 500 si la demande à un point de terminaison compatible CORS est demandée sans en-tête d'origine

Décrivez le bogue

Si une requête HTTP est envoyée à un point de terminaison CORS où aucun en-tête de requête HTTP origin n'est spécifié, la requête échoue avec une erreur HTTP 500.

L'exception dans les journaux est :

[2019-04-13 14:40:04Z] fail: Microsoft.AspNetCore.Diagnostics.DeveloperExceptionPageMiddleware[1]
      An unhandled exception has occurred while executing the request.
System.InvalidOperationException: Endpoint MartinCostello.Api.Controllers.TimeController.Get (API) contains CORS metadata, but a middleware was not found that supports CORS.
Configure your application startup by adding app.UseCors() inside the call to Configure(..) in the application startup code.
   at Microsoft.AspNetCore.Routing.EndpointMiddleware.ThrowMissingCorsMiddlewareException(Endpoint endpoint)
   at Microsoft.AspNetCore.Routing.EndpointMiddleware.Invoke(HttpContext httpContext)
   at Microsoft.AspNetCore.Routing.EndpointRoutingMiddleware.Invoke(HttpContext httpContext)
   at Microsoft.AspNetCore.StaticFiles.StaticFileMiddleware.Invoke(HttpContext context)
   at Microsoft.AspNetCore.HttpOverrides.HttpMethodOverrideMiddleware.Invoke(HttpContext context)
   at Microsoft.AspNetCore.Diagnostics.DeveloperExceptionPageMiddleware.Invoke(HttpContext context)

Cependant, app.Cors() _a_ été ajouté à l'application avant app.UseEndpoints(...) .

Cela semble avoir été introduit par #9181.

Si la requête n'a pas d'en-tête de requête origin , le middleware CORS est ignoré :

https://github.com/aspnet/AspNetCore/blob/b93bc433db66175d2b07b128ec9990f7a4dd7e1b/src/Middleware/CORS/src/Infrastructure/CorsMiddleware.cs#L122 -L125

Cependant, le middleware du point de terminaison trouve les métadonnées CORS sur le point de terminaison invoqué et vérifie si le middleware CORS a été invoqué (ce qu'il était, mais a été ignoré car non nécessaire) en recherchant une clé dans le HttpContext 's éléments. L'élément n'est pas présent, une exception est donc levée :

https://github.com/aspnet/AspNetCore/blob/84da613d2c03b6f1c0fa3c01828923ec3415d525/src/Http/Routing/src/EndpointMiddleware.cs#L51 -L55

La clé testée par le middleware du point de terminaison n'est ajoutée que si l'en-tête origin est présent dans la requête, qui est ici :

https://github.com/aspnet/AspNetCore/blob/b93bc433db66175d2b07b128ec9990f7a4dd7e1b/src/Middleware/CORS/src/Infrastructure/CorsMiddleware.cs#L140 -L141

Il semblerait que deux correctifs possibles soient :

1. Le middleware CORS ajoute toujours la valeur "J'ai exécuté" à HttpContext.Items , ou :
2. Le middleware du point de terminaison vérifie _aussi_ l'en-tête origin si les métadonnées CORS sont présentes sur le point de terminaison, et ne lève l'exception pour la non-invocation du middleware CORS que s'il est présent dans la requête HTTP.

Reproduire

1. Configurez une application ASP.NET Core MVC pour utiliser CORS.
2. Ajoutez l'attribut [EnableCors(...)] à une méthode de contrôleur.
3. Lancez l'application.
4. Effectuez une requête HTTP standard (par exemple avec cURL) au point de terminaison.

Comportement prévisible

La requête aboutit si aucun en-tête de requête HTTP origin n'est fourni.

Contexte supplémentaire

.NET Core SDK (reflecting any global.json):
 Version:   3.0.100-preview4-011204
 Commit:    621575bab1

Runtime Environment:
 OS Name:     Windows
 OS Version:  10.0.17763
 OS Platform: Windows
 RID:         win10-x64
 Base Path:   C:\Program Files\dotnet\sdk\3.0.100-preview4-011204\

Host (useful for support):
  Version: 3.0.0-preview4-27612-09
  Commit:  64e9c3e1cd