在ASP.NET Core Web API中正确配置CORS策略以解决跨域问题

1. 跨域资源共享（CORS）的基本概念

跨域资源共享（Cross-Origin Resource Sharing, CORS）是一种基于HTTP头的机制，允许服务器声明哪些外部源（协议、域名、端口）可以访问其资源。浏览器出于安全考虑实施同源策略，限制从一个源加载的网页向另一个源发起请求。

尽管使用C#的HttpClient直接调用Web API时不受同源策略影响，但在前后端分离架构中，若前端通过Blazor WASM或JavaScript间接触发后端API请求，则请求实际由浏览器发出，此时CORS策略变得至关重要。

常见错误如：No 'Access-Control-Allow-Origin' header is present on the requested resource，通常出现在预检请求（OPTIONS）失败时。

2. ASP.NET Core中的CORS中间件工作原理

ASP.NET Core提供了内置的CORS中间件支持，通过Microsoft.AspNetCore.Cors命名空间实现。该中间件必须在请求管道中正确注册，顺序应位于路由之前但早于终端中间件（如UseEndpoints）。

中间件处理流程如下：

1. 接收到来自客户端的HTTP请求
2. 判断是否为跨域请求（Origin头存在且与当前主机不同）
3. 检查是否为预检请求（HTTP方法为OPTIONS且包含Access-Control-Request-Method头）
4. 匹配已定义的CORS策略
5. 添加相应的响应头（如Access-Control-Allow-Origin）
6. 放行或拒绝请求

3. 配置CORS策略的多种方式

在ASP.NET Core中，可通过以下几种方式配置CORS：

• 全局策略：应用于所有控制器和Action
• 基于策略命名的配置：灵活绑定到特定端点
• 启用任意来源：仅用于开发环境
• 特性标注（Attribute）：精确控制单个API行为

4. 代码示例：在Program.cs中配置CORS

var builder = WebApplication.CreateBuilder(args);

// 添加CORS服务
builder.Services.AddCors(options =>
{
    options.AddPolicy("AllowSpecificOrigin", policy =>
    {
        policy.WithOrigins("https://frontend.example.com")
              .AllowAnyHeader()
              .AllowAnyMethod()
              .AllowCredentials();
    });

    options.AddPolicy("AllowAll", policy =>
    {
        policy.AllowAnyOrigin()
              .AllowAnyHeader()
              .AllowAnyMethod();
    });
});

builder.Services.AddControllers();

var app = builder.Build();

// 使用CORS中间件
app.UseCors();

app.UseAuthorization();

app.MapControllers();

app.Run();
    

5. 安全性考量与最佳实践

虽然AllowAnyOrigin()便于调试，但在生产环境中极易引发安全风险，例如CSRF攻击。推荐做法是明确指定可信源。

6. Blazor WASM场景下的特殊挑战

在Blazor WebAssembly应用中，前端运行于浏览器沙箱内，所有通过HttpClient发起的请求均受CORS约束。即使调用逻辑写在C#中，底层仍由浏览器执行fetch/xhr操作。

典型问题包括：

• 未处理OPTIONS预检请求导致连接中断
• 凭证模式下未设置AllowCredentials引发拒绝
• 动态子域名环境难以静态配置Origin

7. 高级配置：条件化CORS策略

对于复杂部署结构（如SaaS平台），可采用动态策略判定：

services.AddCors(options =>
{
    options.AddPolicy("DynamicOriginPolicy", policy =>
    {
        policy.SetIsOriginAllowed(origin =>
        {
            // 示例：允许特定域名及其子域
            return new[] { "example.com", "myapp.net" }
                   .Any(host => origin.EndsWith(host));
        })
        .AllowAnyMethod()
        .AllowAnyHeader()
        .AllowCredentials();
    });
});
    

8. 中间件注册顺序的重要性

CORS中间件的调用顺序直接影响其有效性。以下为正确顺序的流程图：

9. 常见错误排查清单

当遇到CORS相关问题时，可参考以下排查步骤：

1. 确认UseCors()已在Program.cs中调用
2. 验证策略名称拼写一致
3. 检查是否遗漏AllowCredentials而前端发送了凭据
4. 查看浏览器开发者工具中的Network面板，分析OPTIONS请求响应头
5. 确保HTTPS环境下不混用HTTP源
6. 避免在IIS或反向代理层覆盖CORS头
7. 测试时使用Postman等工具排除浏览器缓存干扰
8. 确认Blazor WASM的HttpClient实例来自IHttpClientFactory
9. 检查是否存在多个CORS策略冲突
10. 日志记录中间件输出以追踪请求生命周期

10. 生产环境部署建议

在企业级系统中，应结合基础设施层面进行综合设计：

• 使用CDN或API网关统一处理CORS策略
• 通过环境变量注入允许的Origin列表
• 启用详细日志记录异常跨域尝试
• 定期审计CORS配置防止权限扩散
• 结合JWT/OAuth2进行细粒度访问控制