Aspnetcore: CORS 사용 엔드 포인트에 대한 요청이 오리진 헤더없이 요청 된 경우 HTTP 500

에 만든 2019년 04월 13일 · 3코멘트 · 출처: dotnet/aspnetcore

버그 설명

origin HTTP 요청 헤더가 지정되지 않은 CORS 사용 끝점에 HTTP 요청이 수행되면 HTTP 500 오류와 함께 요청이 실패합니다.

로그의 예외는 다음과 같습니다.

[2019-04-13 14:40:04Z] fail: Microsoft.AspNetCore.Diagnostics.DeveloperExceptionPageMiddleware[1]
      An unhandled exception has occurred while executing the request.
System.InvalidOperationException: Endpoint MartinCostello.Api.Controllers.TimeController.Get (API) contains CORS metadata, but a middleware was not found that supports CORS.
Configure your application startup by adding app.UseCors() inside the call to Configure(..) in the application startup code.
   at Microsoft.AspNetCore.Routing.EndpointMiddleware.ThrowMissingCorsMiddlewareException(Endpoint endpoint)
   at Microsoft.AspNetCore.Routing.EndpointMiddleware.Invoke(HttpContext httpContext)
   at Microsoft.AspNetCore.Routing.EndpointRoutingMiddleware.Invoke(HttpContext httpContext)
   at Microsoft.AspNetCore.StaticFiles.StaticFileMiddleware.Invoke(HttpContext context)
   at Microsoft.AspNetCore.HttpOverrides.HttpMethodOverrideMiddleware.Invoke(HttpContext context)
   at Microsoft.AspNetCore.Diagnostics.DeveloperExceptionPageMiddleware.Invoke(HttpContext context)

그러나 app.Cors() _has_이 (가) app.UseEndpoints(...) 이전에 애플리케이션에 추가되었습니다.

이것은 # 9181에 의해 도입 된 것으로 보입니다.

요청에 origin 요청 헤더가없는 경우 CORS 미들웨어를 건너 뜁니다.

https://github.com/aspnet/AspNetCore/blob/b93bc433db66175d2b07b128ec9990f7a4dd7e1b/src/Middleware/CORS/src/Infrastructure/CorsMiddleware.cs#L122 -L125

그러나 엔드 포인트 미들웨어는 호출되는 엔드 포인트에서 CORS 메타 데이터를 찾고, HttpContext 의 키를 찾아 CORS 미들웨어가 호출되었는지 (필요하지 않은 것으로 건너 뛰었는지) 확인합니다. 항목. 항목이 없으므로 예외가 발생합니다.

https://github.com/aspnet/AspNetCore/blob/84da613d2c03b6f1c0fa3c01828923ec3415d525/src/Http/Routing/src/EndpointMiddleware.cs#L51 -L55

엔드 포인트 미들웨어에서 테스트중인 키는 origin 헤더가 요청에있는 경우에만 추가됩니다.

https://github.com/aspnet/AspNetCore/blob/b93bc433db66175d2b07b128ec9990f7a4dd7e1b/src/Middleware/CORS/src/Infrastructure/CorsMiddleware.cs#L140 -L141

두 가지 가능한 수정 사항은 다음과 같습니다.

CORS 미들웨어는 항상 "I 've run"값을 HttpContext.Items 에 추가합니다. 또는 :
엔드 포인트 미들웨어 _also_는 CORS 메타 데이터가 엔드 포인트에있는 경우 origin 헤더를 확인하고 HTTP 요청에있는 경우 CORS 미들웨어의 비 호출에 대한 예외 만 발생합니다.

재현하려면

CORS를 사용하도록 ASP.NET Core MVC 애플리케이션을 구성합니다.
컨트롤러 메서드에 [EnableCors(...)] 속성을 추가합니다.
응용 프로그램을 시작하십시오.
엔드 포인트에 대한 표준 HTTP 요청 (예 : cURL 사용)을 수행합니다.

예상되는 행동

origin HTTP 요청 헤더가 제공되지 않으면 요청이 성공합니다.

추가 컨텍스트

.NET Core SDK (reflecting any global.json):
 Version:   3.0.100-preview4-011204
 Commit:    621575bab1

Runtime Environment:
 OS Name:     Windows
 OS Version:  10.0.17763
 OS Platform: Windows
 RID:         win10-x64
 Base Path:   C:\Program Files\dotnet\sdk\3.0.100-preview4-011204\

Host (useful for support):
  Version: 3.0.0-preview4-27612-09
  Commit:  64e9c3e1cd

Done area-mvc bug

출처

martincostello

가장 유용한 댓글

preview4의 경우 가능한 해결 방법은 다음과 같습니다.

1) 미들웨어를 갖는 세트의 값 HttpContext.Items 후 UseCors()

```C #
app.UseCors ();

app.Use ((문맥, 다음) =>
{
context.Items [ "__ CorsMiddlewareInvoked"] = true;
return next ();
});


2) Disable the check in `EndpointRouting`:
```C#
services.AddRouting(r => r.SuppressCheckForUnhandledSecurityMetadata = true);

첫 번째는 잘못 구성된 응용 프로그램에 대한 검사를 제거하지 않기 때문에 선호됩니다.

pranavkm 에 2019년 04월 17일

👍3

모든 3 댓글

간단한 샌드 박스 앱에 대한이 커밋을 만드는 과정에서 문제가 발견되었습니다. https://github.com/martincostello/api/pull/109/commits/a40a99f2dbb82d17ce6cc7cde5e13bc400d78137

martincostello 에 2019년 04월 13일

cc @pranavkm

davidfowl 에 2019년 04월 13일