在 .NET Core 8 中实现 CORS

一. 引言

跨域资源共享（CORS）是现代浏览器实现的一项安全功能，它限制了网页从与其来源不同的域请求资源。在现代网页开发中，特别是在使用Angular作为前端框架和.NET Core 8作为后端时，正确实现CORS至关重要，以构建安全且功能齐全的应用程序。本文将概述在.NET Core 8环境中设置CORS的最佳实践和常见陷阱。

二. CORS的基本概念

想象一下，你的玩具箱（你的网站）里有很多玩具，而邻居的朋友（另一个网站）想来借你的玩具（数据）。但你的妈妈（浏览器）有个规则，规定邻居的朋友只能玩自己的玩具。为了保持安全，CORS就会检查以下内容：

• 你的朋友是否被允许借玩具？
• 他们是否遵循了请求的规则？

如果一切正常，你的朋友就可以借到玩具。

三. 在.NET Core 8中设置CORS

1. 安装必要的包

确保安装了所需的.NET Core包。大多数情况下，默认设置已经足够，但如果需要，可以安装特定的CORS库。

2. 在Startup中配置CORS

在.NET Core 8中，CORS的配置通常在Program.cs文件中完成。以下是一个简单的设置示例。

var builder = WebApplication.CreateBuilder(args);
// 添加CORS服务
builder.Services.AddCors(options =>
{
    options.AddPolicy("AllowAngularApp",
        builder => builder.WithOrigins("https://your-angular-app.com") // 允许的来源
                          .AllowAnyMethod() // 允许任意方法
                          .AllowAnyHeader() // 允许任意头
                          .AllowCredentials()); // 允许凭据
});
var app = builder.Build();
// 使用CORS策略
app.UseCors("AllowAngularApp");
app.MapControllers();
app.Run();

3. 允许特定的来源

对于生产环境，指定确切的来源至关重要，避免使用AllowAnyOrigin()，这是一种常见的陷阱。限制允许的来源可以增强安全性。

options.AddPolicy("AllowAngularApp",
    builder => builder.WithOrigins("https://your-angular-app.com") // 允许的来源
                      .AllowAnyMethod() // 允许任意方法
                      .AllowAnyHeader()); // 允许任意头

4. 处理预检请求

确保你的服务器能够处理预检请求。这些是由浏览器发送的OPTIONS请求，用于检查权限。通过启用CORS并处理这些请求，可以确保你的应用程序能够正确响应。

5. 允许凭据

如果你的Angular应用需要发送Cookies或HTTP认证信息，需要在CORS策略中设置AllowCredentials()。使用此功能时要谨慎，因为它要求明确指定来源，不能设置为AllowAnyOrigin()。

四. 高级CORS配置

1. 自定义允许的方法

如果你的API使用特定的HTTP方法，可以自定义允许的方法。

options.AddPolicy("AllowAngularApp",
    builder => builder.WithOrigins("https://your-angular-app.com") // 允许的来源
                      .WithMethods("GET", "POST", "PUT", "DELETE") // 允许的HTTP方法
                      .AllowAnyHeader() // 允许任意头
                      .AllowCredentials()); // 允许凭据

2. 设置暴露的头

如果你的API返回客户端需要访问的自定义头，请使用WithExposedHeaders进行指定。

options.AddPolicy("AllowAngularApp",
    builder => builder.WithOrigins("https://your-angular-app.com") // 允许的来源
                      .AllowAnyMethod() // 允许任意方法
                      .AllowAnyHeader() // 允许任意头
                      .WithExposedHeaders("X-Custom-Header") // 指定暴露的头
                      .AllowCredentials()); // 允许凭据

3. 日志CORS请求

为了调试，可以记录CORS请求以跟踪出现的问题。以下是一个简单的日志中间件示例。

app.Use(async (context, next) =>
{
    if (context.Request.Headers.ContainsKey("Origin")) // 检查请求头中是否包含Origin
    {
        var origin = context.Request.Headers["Origin"]; // 获取Origin头
        Console.WriteLine($"CORS request from: {origin}"); // 输出请求的来源
    }
    await next(); // 继续处理请求
});

五. 最佳实践

1. 限制来源

始终指定允许与API交互的确切来源。避免使用通配符（*），因为这会将API暴露于潜在的安全风险。

2. 使用HTTPS

确保你的.NET Core后端和Angular前端都通过HTTPS提供服务。这可以保护传输中的数据并增强可信度。

3. 定期审核CORS策略

随着应用程序的成长和演变，定期审查CORS配置，以确保它们符合当前的安全要求。

4. 测试CORS配置

使用Postman或浏览器开发者工具测试你的CORS设置。检查错误并确保你的API返回预期的头。

5. 文档化你的API

清楚地文档化CORS策略和允许的来源，帮助其他开发者正确地与API交互。

六. 常见陷阱

1. 错误配置允许的来源

最常见的错误之一是错误配置允许的来源。仔细检查确切的URL，包括协议（HTTP与HTTPS）和任何潜在的尾随斜杠。

2. 忘记应用CORS中间件

确保在映射任何端点之前应用UseCors中间件。将其放在端点映射之后可能会导致意外行为。

3. AllowAnyOrigin与AllowCredentials的组合

这种组合是不允许的，会导致CORS请求失败。如果需要凭据，指定确切的来源。

4. 不处理OPTIONS请求

忽视预检OPTIONS请求可能导致从不同来源访问API时出现问题。确保你的服务器能够正确处理这些请求。

七. 结论

在.NET Core 8中为Angular应用实现CORS对创建安全且功能齐全的Web应用至关重要。通过遵循最佳实践并意识到常见陷阱，你可以确保CORS设置既有效又安全。随着应用程序的发展，定期审查CORS配置将有助于长期维护安全性和功能。