如果 EnableCors Origin 无效，则完全阻止 Web API 执行

2024-04-08

我在用Microsofts EnableCors我的属性Web API来电。客户端行为按照我的预期运行：例如当 Origin 无效时，调用返回失败。

但是，当我在方法中放置断点并从无效的源进行调用时...该方法仍然从上到下执行（即使客户端得到失败的结果）。如果原点无效，我根本不希望它执行。

我的问题是：
如果 EnableCors Origin 无效，如何阻止 Web API 方法执行？

帮助我，欧比旺·克诺比……你是我唯一的希望。

我的代码如下所示：

[HttpPost]
[EnableCors(origins: "www.zippitydoodah.com", headers: "*", methods: "*")]
public HttpResponseMessage Enqueue(HttpRequestMessage request)
{
    // NONE OF THIS SHOULD RUN: If the Origin is bad...but (oddly) it is
    TraceHandler.TraceIn(TraceLevel.Info);

    string claimId = string.Empty;
    ClaimMessage claimMessage = null;

    try 
    {
        claimId = GetClaimId(request);
        claimMessage = CreateClaimMessage(claimId, segmentClaimFullName);

        Enqueue(claimMessage);

        TraceHandler.TraceAppend(FORMAT_ENQUEUED_SUCCESS, claimId);
    }
    catch (Exception ex)
    {
        TraceHandler.TraceError(ex);
        TraceHandler.TraceOut();

        EnqueueToPoison(ex, claimMessage);
        return Request.CreateResponse(HttpStatusCode.InternalServerError, GetHttpError());
    }

    TraceHandler.TraceOut();
    return Request.CreateResponse(HttpStatusCode.OK, string.Format(FORMAT_ENQUEUED_SUCCESS, claimId));
}

我的配置如下：

public static class WebApiConfig
{
    #region <Methods>

    public static void Register(HttpConfiguration config)
    {
        // ENABLE CORS
        config.EnableCors();

        // CREATE ROUTES
        config.Routes.MapHttpRoute(
            name: "DefaultRpcApiActions",
            routeTemplate: "api/{controller}/actions/{action}/{id}",
            defaults: new { id = RouteParameter.Optional });

        config.Routes.MapHttpRoute(
            name: "DefaultApi",
            routeTemplate: "api/{controller}/{id}",
            defaults: new { id = RouteParameter.Optional });
    }

    #endregion
}

事实证明...

CORS 标头不应阻止对控制器的调用：MVC 或 Web API。它只是阻止结果返回到浏览器。无论如何它都会被执行的方法......所以你必须通过其他方式阻止执行。

还有什么其他方法？
你也许可以使用AuthorizeAttribute。但我想在 ACTION 级别上做到这一点，所以我选择了ActionFilterAttribute- 并执行检查OnActionExecuting

使用注意事项：ActionFilter属性

继续向所有人开放 CORS，然后通过操作进行限制（这样每个人都可以 PING）
假设所有调用均来自有效的REFERRER

这意味着像SQL CLR来自数据库的调用（这就是我正在做的）不会工作，因为REFERRER为空（因此，我稍后会发布更好的解决方案）。

The ICorsPolicyProvider没用 - 我正在删除它（但将其包含在这里）

我看到的所有示例都包含它，但我还没有找到调用它的场景。我的构造函数已经创建了CorsPolicy并且该策略在整个通话生命周期内可用......所以ICorsPolicyProvider方法似乎没什么用（目前）。

The TraceHandler实现是我自己的 - 请继续使用您自己的实现
The Access-Control-Allow-Origin必须添加标头以确保某些客户端的预期返回消息行为

这是代码：ActionFilter属性

namespace My.Application.Security
{
    using My.Application.Diagnostics;
    using System;
    using System.Configuration;
    using System.Diagnostics;
    using System.Net;
    using System.Net.Http;
    using System.Threading;
    using System.Threading.Tasks;
    using System.Web.Cors;
    using System.Web.Http.Controllers;
    using System.Web.Http.Cors;
    using System.Web.Http.Filters;

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)]
    public class EnableWebApiCorsFromAppSettingsAttribute : ActionFilterAttribute, ICorsPolicyProvider
    {
        #region <Fields & Constants>

        private const string EXCEPTION_CONTEXT_NULL = "Access Denied: HttpActionContext cannot be null.";
        private const string EXCEPTION_REFERRER_NULL = "Access Denied: Referrer cannot be null.";
        private const string FORMAT_INVALID_REFERRER = "Access Denied: '{0}' is not a valid referrer.";
        private const string FORMAT_REFERRER = "Referrer: '{0}' was processed for this request.";
        private const string FORMAT_REFERRER_FOUND = "Referrer IsFound: {0}.";

        private readonly CorsPolicy policy;

        #endregion

        #region <Constructors>

        public EnableWebApiCorsFromAppSettingsAttribute(string appSettingKey, bool allowAnyHeader = true, bool allowAnyMethod = true, bool supportsCredentials = true)
        {
            policy = new CorsPolicy();
            policy.AllowAnyOrigin = false;
            policy.AllowAnyHeader = allowAnyHeader;
            policy.AllowAnyMethod = allowAnyMethod;
            policy.SupportsCredentials = supportsCredentials;

            SetValidOrigins(appSettingKey);

            if (policy.Origins.Count == 0)
                policy.AllowAnyOrigin = true;
        }

        #endregion

        #region <Methods>

        #region public

        public override void OnActionExecuting(HttpActionContext actionContext)
        {
            TraceHandler.TraceIn(TraceLevel.Info);

            if (actionContext == null)
                throw new ArgumentNullException("HttpActionContext");

            if (actionContext.Request.Headers.Referrer == null)
                actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Forbidden, EXCEPTION_REFERRER_NULL);

            var referrer = actionContext.Request.Headers.Referrer.ToString();

            TraceHandler.TraceAppend(string.Format(FORMAT_REFERRER, referrer));

            // If no Origins Are Set - Do Nothing
            if (policy.Origins.Count > 0)
            {
                var isFound = policy.Origins.Contains(referrer);

                TraceHandler.TraceAppend(string.Format(FORMAT_REFERRER_FOUND, isFound));

                if (!isFound)
                {
                    TraceHandler.TraceAppend("IsFound was FALSE");
                    actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Forbidden, string.Format(FORMAT_INVALID_REFERRER, referrer));
                }
            }

            TraceHandler.TraceOut();
            base.OnActionExecuting(actionContext);
        }

        public Task<CorsPolicy> GetCorsPolicyAsync(HttpRequestMessage request, CancellationToken cancellationToken)
        {
            if (cancellationToken.CanBeCanceled && cancellationToken.IsCancellationRequested)
                return Task.FromResult<CorsPolicy>(null);

            return Task.FromResult(policy);
        }

        #endregion

        #region private

        private void SetValidOrigins(string appSettingKey)
        {
            // APP SETTING KEY: <add key="EnableCors.Origins" value="http://www.zippitydoodah.com" />
            var origins = string.Empty;
            if (!string.IsNullOrEmpty(appSettingKey))
            {
                origins = ConfigurationManager.AppSettings[appSettingKey];
                if (!string.IsNullOrEmpty(origins))
                {
                    foreach (string origin in origins.Split(",;|".ToCharArray(), StringSplitOptions.RemoveEmptyEntries))
                        policy.Origins.Add(origin);
                }
            }
        }

        #endregion

        #endregion
    }
}

这是代码的用法：ActionFilter属性

namespace My.Application.Web.Controllers
{
    using Security;
    using My.Application.Diagnostics;
    using My.Application.Framework.Configuration;
    using My.Application.Models;
    using My.Application.Process;
    using System;
    using System.Configuration;
    using System.Diagnostics;
    using System.IO;
    using System.Linq;
    using System.Messaging;
    using System.Net;
    using System.Net.Http;
    using System.Web.Http;
    using System.Web.Http.Cors;
    using System.Xml.Linq;
    using System.Xml.Serialization;

    [EnableCors(origins: "*", headers: "*", methods: "*")]
    public class OutboundEventController : ApiControllerBase
    {
        #region <Actions>

        [HttpGet]
        public HttpResponseMessage Ping()
        {
            TraceHandler.TraceIn(TraceLevel.Info);

            if (Request.Headers.Referrer == null)
                TraceHandler.TraceAppend(MESSAGE_REFERRER_NULL);

            if (Request.Headers.Referrer != null)
                TraceHandler.TraceAppend(string.Format(FORMAT_REFERRER, Request.Headers.Referrer));

            TraceHandler.TraceOut();
            return Request.CreateResponse(HttpStatusCode.OK, "Ping back at cha...");
        }

        [HttpPost]
        [EnableWebApiCorsFromAppSettings("EnableCors.Origins")]
        public HttpResponseMessage Enqueue(HttpRequestMessage request)
        {
            TraceHandler.TraceIn(TraceLevel.Info);

            if (Request.Headers.Referrer == null)
                TraceHandler.TraceAppend(MESSAGE_REFERRER_NULL);

            if (Request.Headers.Referrer != null)
                TraceHandler.TraceAppend(string.Format(FORMAT_REFERRER, Request.Headers.Referrer));

            try 
            {
                // Do Amazing Stuff Here...

                TraceHandler.TraceAppend(FORMAT_ENQUEUED_SUCCESS, claimId);
            }
            catch (Exception ex)
            {
                TraceHandler.TraceError(ex);
                TraceHandler.TraceOut();

                EnqueueToPoison(ex, claimMessage);
                return Request.CreateResponse(HttpStatusCode.InternalServerError, GetHttpError());
            }

            TraceHandler.TraceOut();

            // FORCE: Correct Header
            var response = Request.CreateResponse(HttpStatusCode.OK, string.Format(FORMAT_ENQUEUED_SUCCESS, claimId));
            response.Headers.Add("Access-Control-Allow-Origin", "*");
            return response;
        }

        #endregion

        private string GetClaimId(HttpRequestMessage request)
        {
            var stream = request.Content.ReadAsStreamAsync().Result;
            var xdoc = XDocument.Load(stream);
            var result = GetElementValue(xdoc, "ClaimId");

            return result;
        }

        private ClaimMessage CreateClaimMessage(string claimId, string process)
        {
            ClaimMessage message = new ClaimMessage();

            message.ClaimID = claimId;
            message.Process = process;

            return message;
        }

        private void Enqueue(ClaimMessage claimMessage)
        {
            var queueName = ConfigurationManager.AppSettings[Settings.Messaging.Queue.Name].ToString();
            var queue = new MessageQueue(queueName);
            queue.DefaultPropertiesToSend.Recoverable = true;

            TraceHandler.TraceAppend(FORMAT_QUEUE_NAME, queueName);

            MessageQueueTransaction transaction;
            transaction = new MessageQueueTransaction();
            transaction.Begin();

            var message = new System.Messaging.Message();
            message.Formatter = new XmlMessageFormatter(new Type[] { typeof(ClaimMessage) });

            message.Label = "ClaimID " + claimMessage.ClaimID;

            message.Body = claimMessage;
            queue.Send(message, transaction);

            transaction.Commit();
            queue.Close();
        }

        private void EnqueueToPoison(Exception exception, ClaimMessage claimdata)
        {
            TraceHandler.TraceIn(TraceLevel.Info);

            var poison = ToPoisonMessage(exception, claimdata);
            var message = new System.Messaging.Message();

            try
            {
                var poisonQueueName = ConfigurationManager.AppSettings[Settings.Messaging.PoisonQueue.Name].ToString();

                TraceHandler.TraceAppend(FORMAT_QUEUE_NAME, poisonQueueName);

                if (MessageQueue.Exists(poisonQueueName))
                {
                    var queue = new MessageQueue(poisonQueueName);
                    queue.DefaultPropertiesToSend.Recoverable = true;

                    var transaction = new MessageQueueTransaction();
                    transaction.Begin();

                    message.Formatter = new XmlMessageFormatter(new Type[] { typeof(PoisonClaimMessage) });
                    message.Label = "Poison ClaimID " + poison.ClaimID;

                    var xmlSerializer = new XmlSerializer(poison.GetType());
                    xmlSerializer.Serialize(message.BodyStream, poison);

                    queue.Send(message, transaction);

                    TraceHandler.TraceAppend(FORMAT_ENQUEUED_POISON_SUCCESS, poison.ClaimID);

                    transaction.Commit();
                    queue.Close();
                }
            }
            catch(Exception ex)
            {
                // An error occurred while enqueuing to POISON
                var poisonXml = ToString(poison);

                TraceHandler.TraceError(ex);
                TraceHandler.TraceAppend(poisonXml);
            }
            finally
            {
                TraceHandler.TraceOut();
            }
        }


        #endregion
    }
}

应用程序设置：ActionFilter属性

  <appSettings>
    <add key="EnableCors.Origins" value="" />
  </appSettings>

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

c

ASPNETMVC

aspnetwebapi

CORS

如果 EnableCors Origin 无效，则完全阻止 Web API 执行的相关文章

ASP.NET Core 与现有的 IoC 容器和环境？

我想运行ASP NET 核心网络堆栈以及MVC在已托管现有应用程序的 Windows 服务环境中以便为其提供前端该应用程序使用 Autofac 来处理 DI 问题这很好因为它已经有一个扩展Microsoft Extensions D
为什么大多数平台上没有“aligned_realloc”？

MSVC有自己的非标准函数 aligned malloc aligned realloc and aligned free C 17和C11引入了 std aligned alloc 其结果可以是de分配有free or realloc B
如何使用多个项目将大型 ASP.NET MVC 站点分成多个部门？

假设我有一个非常大的网站例如 amazon com 我想在整个网站上使用 asp net mvc 但拥有一个包含数百名贡献者的大型项目是不切实际的我想将工作分成每个部门的书籍工具玩具杂货等项目然后当他们构建并交付新版本时我只
无法解析远程名称 - webclient

我面临这个错误 The remote name could not be resolved russgates85 001 site1 smarterasp net 当我请求使用 Web 客户端读取 html 内容时出现错误下面是我的代
两种类型的回发事件

1 我发现了两篇文章每篇文章对两种类型的回发事件的分类都略有不同一位资源说两种类型的回发事件是Changed事件其中控件实现 IPostbackDataHandler 当数据在回发之间更改时触发然后Raised事件其中控件实现 I
2D morton 码编码/解码 64 位

如何将给定 x y 的莫顿代码 z 顺序编码解码为 32 位无符号整数生成 64 位莫顿代码反之亦然我确实有 xy2d 和 d2xy 但仅适用于 16 位宽的坐标产生 32 位莫顿数在网上查了很多但没有找到请帮忙如果您可
为什么具有相同名称但不同签名的多个继承函数不会被视为重载函数？

以下代码片段在编译期间产生对 foo 的调用不明确错误我想知道是否有任何方法可以解决此问题而不完全限定对 foo 的调用 include
分配器感知容器和propagate_on_container_swap

The std allocator traits模板定义了一些常量例如propagate on container copy move assign让其他容器知道它们是否应该在复制或移动操作期间复制第二个容器的分配器我们还有propag
tabcontrol selectedindex 更改事件未被触发 C#

嘿伙计们我有一个很小的问题请参阅下面的代码 this is main load private void Form1 Load object sender EventArgs e tabAddRemoveOperator Selecte
从 R 到 C 处理列表并访问它

我想使用从 R 获得的 C 列表我意识到这个问题与此非常相似使用 call 在 R 和 C 之间传递数据帧 https stackoverflow com questions 6658168 passing a data frame f
0-1背包算法

以下 0 1 背包问题是否可解浮动正值和浮动权重可以是正数或负数背包的浮动容量 gt 0 我平均有这是一个相对简单的二进制程序我建议用蛮力进行修剪如果任何时候你超过了允许的重量你不需要尝试其他物品的组合你可以丢弃整
使用 javascript/jquery 从数据库格式化日期的正确方法

我正在调用包含日期时间数据类型的数据库日期看起来像这样 2005 05 23 16 06 00 000 当用户从列表中选择某个项目时我想在表格中显示它我调用我的控制器操作并返回所有时间的 Json 并将它们放入表中问题是日期完全错误
使用 iTextSharp 5.3.3 和 USB 令牌签署 PDF

我是 iTextSharp 和 StackOverFlow 的新手我正在尝试使用外部 USB 令牌在 C 中签署 PDF 我尝试使用从互联网上挖掘的以下代码 Org BouncyCastle X509 X509CertificatePar
C 中带有指针的结构的内存开销[重复]

这个问题在这里已经有答案了我意识到当我的结构包含指针时它们会产生内存开销这里有一个例子 typedef struct int num1 int num2 myStruct1 typedef struct int p int num2
为什么 Linux 对目录使用 getdents() 而不是 read()？

我浏览 K R C 时注意到为了读取目录中的条目他们使用了 while read dp gt fd char dirbuf sizeof dirbuf sizeof dirbuf code Where dirbuf是系统特定的目录结构
OSError: [WinError 193] %1 不是有效的 Win32 应用程序，同时使用 CTypes 在 python 中读取自定义 DLL

我正在尝试编写用 python 封装 C 库的代码我计划使用 CTypes 来完成此操作并使用 Visual Studio 来编译我的 DLL 我从一个简单的函数开始在 Visual Studio 内的标头中添加了以下内容然后将其构
在 Xamarin 中获取 OutOfMemoryException

java lang OutOfMemoryError 考虑增加 JavaMaximumHeapSize Java 执行时内存不足 java exe 我的 Visualstudio Xamarin 项目出现内存不足异常请帮助我如何解决此问题
带有私有设置器的 EFCore Base 实体模型属性 - 迁移奇怪的行为

实体模型继承的类内的私有设置器似乎会导致 EFCore 迁移出现奇怪的问题考虑以下示例其中有多个类 Bar and Baz 继承自Foo 跑步时Add Migration多次命令添加删除private修饰符生成的模式在多个方面都是
服务器响应 PASV 命令返回的地址与建立 FTP 连接的地址不同

System Net WebException 服务器响应 PASV 命令返回的地址与建立 FTP 连接的地址不同在 System Net FtpWebRequest CheckError 在 System Net FtpWebReque
如何使用 C# 以低分辨率形式提供高分辨率图像

尝试使用 300dpi tif 图像在网络上显示目前当用户上传图像时我正在动态创建缩略图如果创建的页面引用宽度为 500x500px 的高分辨率图像我可以使用相同的功能即时转换为 gif jpg 吗将创建的 jpg 的即将分辨率

随机推荐

使用“memcpy”复制二维数组在技术上是未定义的行为吗？

评论中出现了一个有趣的讨论最近的这个问题 https stackoverflow com q 69329303 10871073 现在虽然有语言C 讨论已经转向什么C 标准指定了使用以下函数访问多维数组的元素时构成未定义行为的内容std
尝试开始扫描 Chromecast 设备时出错

使用 iOS 尝试调用时出现此错误startScan的方法GCKDeviceScanner实例有什么建议么 2014 03 27 11 03 17 814 XXX4Cast 3542 60b NSCFTimer gck setTolera
Xcode 11 beta 无法在以证书问题结束的设备上安装应用程序

尝试将应用程序构建到 iOS 设备任何设备 iPhone X XS 任何操作系统如 12 13 beta 并获得证书颁发想要在 ios 13 beta 操作系统支持的设备上构建应用程序并调试问题我要在模拟器上构建应用程序证书的自动
使用反射从抽象基类访问构造函数

我正在研究 Java 的 Reflection 我有一个抽象类Base与构造函数 abstract class Base public Base String foo do some magic 我还有一些进一步的课程延伸Base 它们不包
无法在 Visual Studio Code 中调试 Azure Functions。调试器停止

I am using http trigger Azure Function When I am running my application by pressing F5 after clicking http localhost 707
iOS AVCaptureSession - 如何获取/设置每秒记录的帧数？

我是 AVCaptureSession 的新手希望更好地了解如何使用它因此我设法将视频流捕获为单独的 CIImage 并将它们转换为 UIImage 现在我希望能够获取每秒捕获的帧数并且最好能够对其进行设置知道该怎么做吗 AVCa
jq：根据对象值条件递归删除对象的最简单方法

我想用jq删除 JSON 对象中的所有字典我通常使用该术语来指代数组或字典 a 包含一个名为 delete me 的键并且 b 其中键 delete me 满足某些预定条件空非零真等基本上我想要实现的逻辑是遍历输入在每个
如何让“ghci”使用我的“show”功能？

假设您想使用自己的显示函数例如 let show take 1000 Prelude show 你怎么可以允许ghci使用它来代替内置的打印show 您可以定义自己的交互式打印 https downloads haskell org gh
Python networkx 和持久性（可能在 neo4j 中）[关闭]

Closed 这个问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我有一个每秒在内存中创建数千个图形的应用程序我希望找到一种方法来保存这些以供后续查询它们并不是特别
当应用程序未在后台运行时，自定义 URL 方案不起作用

我正在从 safari 调用自定义 URL 来启动应用程序如果应用程序在后台运行它可以正常工作但是当应用程序未在后台运行但已安装在设备上时应用程序不会启动我已经实现了以下两种方法 BOOL application UIAppli
R 上的插入符溢出“无法找到变量“optimismBoot””错误消息

我一直在测试caret在 R 上测试神经网络功能当我运行下面的脚本时它工作正常这已经开始输出无法找到变量 optimismBoot library doParallel cl lt makePSOCKcluster 4 regist
Visual Studio 2010 不断更改我的默认浏览器

Opera 是我选择的浏览器因此将其设置为系统默认浏览器但对于在 Visual Studio 中调试 Web 应用程序我更喜欢 IE 因此我在文件浏览方式中将其设置为默认值这里奇怪的是 Visual Studio 2010 不断以未
Jenkins 声明式管道抛出 org.jenkinsci.plugins.scriptsecurity.sandbox.RejectedAccessException：未分类的 getAt 方法

我在 Jenkins 中定义了一个共享库 import com codependent jenkins pipelines Utils def call List
将对象的 json 数组解析为适当的案例类

我有一个 json 数组settings像这样 name Company Name key company name default Foo name Deposit Weeks key deposit weeks default 6 na
何时调用 SQLite 清理函数？

我正在 iOS 中使用 sqlite 数据库我在我的应用程序中使用了 CRUD 操作例如将数据插入到我使用下面代码的数据库中 BOOL saveData User user const char dbpath databasePath
新数据成员的多态性

我想编写一个可以使用多态性初始化和返回不同类的对象的函数我还希望这些类具有可以通过虚拟函数调用的不同数据成员我下面写的可能有用你能检查一下我是否有一些未定义的行为吗谢谢你我担心的一件事是当我最后调用删除多点时它不会释放 C
非阻塞 getch()、ncurses

我在阻止 ncurses 的 getch 时遇到一些问题默认操作似乎是非阻塞的或者我错过了一些初始化我希望它像 Windows 中的 getch 一样工作我尝试过各种版本 timeout 3000000 nocbreak cbrea
Angular 4 RC.4 和 .net core 服务器端预渲染

我有这个项目https github com damirkusar AngularMeetsNetCore tree AngularRc4 https github com damirkusar AngularMeetsNetCore tr
尝试安排计时器时出现 IllegalStateException

从取消方法的文档中宽松地说如果该方法阻止一个或多个计划执行的发生则该方法返回 true 当我执行这段代码时 private Timer timer null private TimerTask runnable new TimerTa
如果 EnableCors Origin 无效，则完全阻止 Web API 执行

我在用Microsofts EnableCors我的属性Web API来电客户端行为按照我的预期运行例如当 Origin 无效时调用返回失败但是当我在方法中放置断点并从无效的源进行调用时该方法仍然从上到下执行即使客户端得到失败

如果 EnableCors Origin 无效，则完全阻止 Web API 执行

如果 EnableCors Origin 无效，则完全阻止 Web API 执行 的相关文章

随机推荐

热门标签

如果 EnableCors Origin 无效，则完全阻止 Web API 执行的相关文章