CORS i credentials

Question

Witam. Mam włączone corsy:

            services.AddCors(cfg =>
            {
                cfg.AddDefaultPolicy(cfgPolicy =>
                {
                    cfgPolicy.AllowAnyMethod()
                    .AllowAnyHeader()
                    .WithOrigins(Origins.SafeChatView)
                    .AllowCredentials();
                });
            });

i wszystko niby działa. Ale do pewnego momentu. Kiedy wyślę żądanie, które wymaga autoryzacji otrzymuję CORS error wyglądający tak:

Access to XMLHttpRequest at 'https://localhost:5000/api/chat/group/join' from origin 'https://localhost:4200' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

I zaznaczę raz jeszcze, że ten błąd wywala tylko w żądaniach wymagających autoryzacji i tylko wtedy, jeśli autoryzacja się nie powiedzie. Do tego błędu tego nie wywala wykonując żądanie w Postmanie. Dlaczego? Dzięki za pomoc.

Comments

Pokaż proszę screen z zakładki Headers w panelu Networku devtoolsów przeglądarki, a konkretnie nagłówki żądania i odpowiedzi oraz to samo dla requestu preflight, jeśli wystąpił.

---

Już mam rozwiązanie, zobacz, niżej jest najlepsza odpowiedź :). Ale dzięki za chęci :D

---

Na oko, to oba URL'e mają inne domeny, bo wysyłasz request będąc na stronie załadowanej z portu 4200 pod endpoint na porcie 5000. Nie masz ustawionego jakiegoś przekierowania, gdy autoryzacja się nie powiedzie?

---

ja uważam że to kwestia tego, iż on nie ogranicza rodzaju metod i przepustowości na cors... a przesyła credentional 

cfgPolicy.AllowAnyMethod() - to przejdzie 

  .AllowAnyHeader() -> nie przejdzie  taka polityka heder

ale nie przejdzie  

taka polityka nie może być przy creditionalach w sensie 

https://stackoverflow.com/questions/43114750/header-in-the-response-must-not-be-the-wildcard-when-the-requests-credentia

---

Możliwe, dlatego zapytałem o screen z przesyłanych i odbieranych nagłówków, żeby sprawdzić co tam ze sobą koliduje. :)

---

Panowie, problem już rozwiązany :)

---

tylko nie sztuką jest na pałe rozwiązać problem, typu "działa bo coś wkleiłem" tylko zrozumieć, dlaczego nie działało i jakie sa inne możliwe rozwiązania lub też czy ta zmiana nie powoduje jakiegoś skutku ubocznego i przez niego "magicznie działa " :)

---

Wychodzi na to, że on challenge nie dodaje nagłówków automatycznie i trzeba to robić ręcznie. No nie mam innego pomysłu, dlaczego tak by się działo. Robiłem to co proponowaliście i to nie zadziałało.

Answer 1

https://stackoverflow.com/questions/57009371/access-to-xmlhttprequest-at-from-origin-localhost3000-has-been-blocked

Comments

No ale właśnie w tym problem, że ja mam corsy włączone. A ten błąd wyskakuje tylko kiedy żądanie wymaga autoryzacji i ta autoryzacja się nie powiedzie.

---

https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS/Errors

Tutaj szukałeś?

---

O, dzięki. Przydało się, i do tego chyba muszę zacząć korzystać z F12 od Firefoxa :). A ogółem to musiałem w OnChallenge ręcznie dodać dwa nagłówki. Tak wygląda rozwiązanie dla ASP NET Core: https://pastebin.com/Kf9Qu47r

---

Super

Nie ma za co!

---

@Szyszka, twoje korsy pozwalają na każde metody... ale przy creditionalach nie możes zrobić AllowAllMethods, nie zezwol iCORS na dopuszczanie każdego endpointu jesli ustawione sa creditionale.