Aspnetcore: HTTP 500, если запрос к конечной точке с поддержкой CORS запрашивается без заголовка источника

Созданный на 13 апр. 2019 · 3Комментарии · Источник: dotnet/aspnetcore

Опишите ошибку

Если HTTP-запрос выполняется к конечной точке с поддержкой CORS, где не указан заголовок HTTP-запроса origin , запрос завершается ошибкой HTTP 500.

Исключение в журналах:

[2019-04-13 14:40:04Z] fail: Microsoft.AspNetCore.Diagnostics.DeveloperExceptionPageMiddleware[1]
      An unhandled exception has occurred while executing the request.
System.InvalidOperationException: Endpoint MartinCostello.Api.Controllers.TimeController.Get (API) contains CORS metadata, but a middleware was not found that supports CORS.
Configure your application startup by adding app.UseCors() inside the call to Configure(..) in the application startup code.
   at Microsoft.AspNetCore.Routing.EndpointMiddleware.ThrowMissingCorsMiddlewareException(Endpoint endpoint)
   at Microsoft.AspNetCore.Routing.EndpointMiddleware.Invoke(HttpContext httpContext)
   at Microsoft.AspNetCore.Routing.EndpointRoutingMiddleware.Invoke(HttpContext httpContext)
   at Microsoft.AspNetCore.StaticFiles.StaticFileMiddleware.Invoke(HttpContext context)
   at Microsoft.AspNetCore.HttpOverrides.HttpMethodOverrideMiddleware.Invoke(HttpContext context)
   at Microsoft.AspNetCore.Diagnostics.DeveloperExceptionPageMiddleware.Invoke(HttpContext context)

Однако app.Cors() _было добавлено в приложение до app.UseEndpoints(...) .

Похоже, это было введено номером 9181.

Если в запросе нет заголовка origin , промежуточное ПО CORS пропускается:

https://github.com/aspnet/AspNetCore/blob/b93bc433db66175d2b07b128ec9990f7a4dd7e1b/src/Middleware/CORS/src/Infrastructure/CorsMiddleware.cs#L122 -L125

Однако промежуточное ПО конечной точки находит метаданные CORS на вызываемой конечной точке и проверяет, было ли вызвано промежуточное ПО CORS (что было, но было пропущено как ненужное), ища ключ в HttpContext Предметы. Элемента нет, поэтому создается исключение:

https://github.com/aspnet/AspNetCore/blob/84da613d2c03b6f1c0fa3c01828923ec3415d525/src/Http/Routing/src/EndpointMiddleware.cs#L51 -L55

Ключ, проверяемый промежуточным программным обеспечением конечной точки, добавляется только в том случае, если заголовок origin присутствует в запросе, который находится здесь:

https://github.com/aspnet/AspNetCore/blob/b93bc433db66175d2b07b128ec9990f7a4dd7e1b/src/Middleware/CORS/src/Infrastructure/CorsMiddleware.cs#L140 -L141

Казалось бы, есть два возможных исправления:

ПО промежуточного слоя CORS всегда добавляет значение «Я выполнил» к HttpContext.Items или:
Промежуточное ПО конечной точки _также_ проверяет заголовок origin если на конечной точке присутствуют метаданные CORS, и выдает исключение только для невызова промежуточного программного обеспечения CORS, если оно присутствует в HTTP-запросе.

Воспроизводить

Настройте приложение ASP.NET Core MVC для использования CORS.
Добавьте атрибут [EnableCors(...)] в метод контроллера.
Запустите приложение.
Выполните стандартный HTTP-запрос (например, с помощью cURL) к конечной точке.

Ожидаемое поведение

Запрос считается успешным, если не указан заголовок HTTP-запроса origin .

Дополнительный контекст

.NET Core SDK (reflecting any global.json):
 Version:   3.0.100-preview4-011204
 Commit:    621575bab1

Runtime Environment:
 OS Name:     Windows
 OS Version:  10.0.17763
 OS Platform: Windows
 RID:         win10-x64
 Base Path:   C:\Program Files\dotnet\sdk\3.0.100-preview4-011204\

Host (useful for support):
  Version: 3.0.0-preview4-27612-09
  Commit:  64e9c3e1cd

Done area-mvc bug

Источник

martincostello

Самый полезный комментарий

Возможные обходные пути для preview4:

1) Наличие промежуточного программного обеспечения, которое устанавливает значение в HttpContext.Items после UseCors()

`` С #
app.UseCors ();

app.Use ((context, next) =>
{
context.Items ["__ CorsMiddlewareInvoked"] = true;
return next ();
});


2) Disable the check in `EndpointRouting`:
```C#
services.AddRouting(r => r.SuppressCheckForUnhandledSecurityMetadata = true);

Первый вариант предпочтительнее, поскольку он не удаляет проверку на неправильно настроенное приложение.

pranavkm 17 апр. 2019

👍3

Все 3 Комментарий

Проблема была обнаружена при выполнении этой фиксации в простом приложении-песочнице: https://github.com/martincostello/api/pull/109/commit/a40a99f2dbb82d17ce6cc7cde5e13bc400d78137

martincostello 13 апр. 2019

cc @pranavkm

davidfowl 13 апр. 2019

Возможные обходные пути для preview4:

`` С #
app.UseCors ();

app.Use ((context, next) =>
{
context.Items ["__ CorsMiddlewareInvoked"] = true;
return next ();
});


2) Disable the check in `EndpointRouting`:
```C#
services.AddRouting(r => r.SuppressCheckForUnhandledSecurityMetadata = true);

Первый вариант предпочтительнее, поскольку он не удаляет проверку на неправильно настроенное приложение.

pranavkm 17 апр. 2019

👍3

Была ли эта страница полезной?

0 / 5 - 0 рейтинги

Смежные вопросы

Горячая перезагрузка для Blazor

danroth27 · 130Комментарии

Asp.net Core не собирает мусор

zorthgo · 136Комментарии

BadHttpRequestException: время чтения тела запроса истекло из-за слишком медленного поступления данных

clement911 · 129Комментарии

Какой формат следует использовать для документации ASP.NET 5?

danroth27 · 79Комментарии

⏱️ Призыв к действию: помогите сформировать будущее ASP.NET Core

mkArtakMSFT · 89Комментарии