IIS 劫持 CORS Preflight OPTIONS 请求

Question

我正在发出 CORS POST 请求并将 Content-Type 标头设置为 json。这会触发一个 Preflight OPTIONS 请求触发（这是好的和预期的）

此 OPTIONS 请求以 200 OK 响应，但这不是来自我的 WebAPI 应用程序。

我有一个自定义消息处理程序，它永远不会被命中，所以请求在命中 ASP.NET 之前得到了 IIS 的响应。

我找到了几个关于这个主题的帖子，他们说如下

1. 确保 WebDav 已卸载/删除/禁用 - 完成

2. 确保 OPTIONSVerbHandler 已删除/更改为使用 aspnet_isapi.dll - 同时尝试

3. 确保 extensionlessURLHandler 包含 OPTIONS 动词 - DONE

但是，我的选项请求仍然被劫持。我的意思是，IIS 以 200 OK 响应，但在响应中不包含 Access-Control-Allow-Origin 标头。它不包含此标头，因为它永远不会访问设置此标头的我的 WebAPI CORS 代码。

我能找到的两个听起来像我的问题的最好的帖子是

这里：JQuery stuck at CORS preflight and IIS ghost response

这里：http://brockallen.com/2012/10/18/cors-iis-and-webdav/

我尝试在 IIS 中打开失败请求跟踪 (FERB) 并将其设置为跟踪所有 200 个状态代码。我从来没有看到选项请求被记录...不确定这是否意味着 FERB 不跟踪 OPTIONS 请求，或者我是否需要更改 FERB 设置中的某些内容以使其跟踪 OPTIONS 请求，或者如果这是一个线索我的问题是什么？

这是在 IIS 7.5 上运行的 ASP.NET WebAPI 2.0（也在 IIS 8 和 IISExpress 上进行了测试，结果相同） 不管是什么浏览器（Chrome、FF 和 IE 都以同样的方式失败）

我已经尝试了所有我能找到的关于这个主题的方法，但仍然无法解决我的问题。

帮助我 StackOverflow，你是我唯一的希望。

Answer 1

你可以在这里尝试一些事情，所有 web.config 相关，首先修改你的 modules 元素以包含属性runAllManagedModulesForAllRequests="true"，如下所示：

<modules runAllManagedModulesForAllRequests="true">
    <remove name="WebDavModule" />
</modules>

然后将您的处理程序设置为以下内容：

<handlers>
   <remove name="ExtensionlessUrlHandler-ISAPI-4.0_32bit" />
   <remove name="ExtensionlessUrlHandler-ISAPI-4.0_64bit" />
   <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
   <remove name="WebDav" />
   <remove name="OPTIONSVerbHandler" />
   <add name="ExtensionlessUrlHandler-ISAPI-4.0_32bit" path="*." verb="GET,HEAD,POST,DEBUG,PUT,DELETE,PATCH,OPTIONS" modules="IsapiModule" scriptProcessor="%windir%\Microsoft.NET\Framework\v4.0.30319\aspnet_isapi.dll" preCondition="classicMode,runtimeVersionv4.0,bitness32" responseBufferLimit="0" />
   <add name="ExtensionlessUrlHandler-ISAPI-4.0_64bit" path="*." verb="GET,HEAD,POST,DEBUG,PUT,DELETE,PATCH,OPTIONS" modules="IsapiModule" scriptProcessor="%windir%\Microsoft.NET\Framework64\v4.0.30319\aspnet_isapi.dll" preCondition="classicMode,runtimeVersionv4.0,bitness64" responseBufferLimit="0" />
   <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="GET,HEAD,POST,DEBUG,PUT,DELETE,PATCH,OPTIONS" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
</handlers>

这应该可以解决问题，但如果没有，作为最后的手段，您可以强制 IIS 使用以下内容输出正确的标头：

  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <add name="Access-Control-Allow-Origin" value="*" />
        <add name="Access-Control-Allow-Methods" value="GET,PUT,POST,DELETE,OPTIONS" />
        <add name="Access-Control-Allow-Headers" value="Content-Type" />
      </customHeaders>
    </httpProtocol>
  </system.webServer>

请注意通配符值，您应该将其设置为您的网站将托管的域名。

Answer 2

经过 4 小时的搜索/实验，这对我有用：

    <handlers>
        <remove name="OPTIONSVerbHandler" />
        <add name="OPTIONSVerbHandler" path="*" verb="OPTIONS" modules="IsapiModule" scriptProcessor="C:\Windows\System32\inetsrv\asp.dll" resourceType="Unspecified" requireAccess="None" />
    </handlers>

Answer 3

我尝试了上述所有建议以及我在 SO 上找到的其他建议，在我的情况下，重要的是我们在 IIS 上启用了请求过滤，并且 OPTIONS HTTP 动词不在允许的动词列表中。一旦我添加了它，我就可以整理它的其余部分。

Answer 4

我遇到了同样的问题，下面的 web.config 设置为我解决了这个问题。

    <modules runAllManagedModulesForAllRequests="false">
      <remove name="FormsAuthenticationModule" />
    </modules>
    <handlers>
      <remove name="OPTIONSVerbHandler" />
      <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
      <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
    </handlers>

然后我能够在 Application_BeginRequest 中手动处理 CORS OPTIONS 请求。

我最初使用blog post 中详述的库来处理 CORS 请求。不过，我正在开发的产品要求将 runAllManagedModulesForAllRequests 设置为 false。这就是我必须设置自定义实现的原因，但是如果您没有该要求，则应该尝试该库。当我能够将 runAllManagedModulesForAllRequests 设置为 true 时，它​​工作得很好。

Answer 5

在我们的例子中，IIS 中的请求过滤在根 Web 应用程序级别禁用了 OPTIONS 动词。打开 IIS 管理器，单击根应用程序，单击请求过滤，如果 OPTIONS 出现在列表中，则删除或允许动词。希望我先检查一下，因为浪费了很多时间。

Answer 6

就我而言，我错过了 Microsoft.WebApi.Cors 包。 在 WebApiConfig 类中安装了这个包并像这样配置它：

 public static void Register(HttpConfiguration config)
        {
            config.MapHttpAttributeRoutes();
            config.EnableCors(new EnableCorsAttribute("*","*","*"));
            config.Routes.MapHttpRoute(
                name: "DefaultApi",
                routeTemplate: "api/{controller}/{id}",
                defaults: new { id = RouteParameter.Optional }
            );
        }

请在生产中使用之前对其进行微调，因为您可能不希望所有内容都使用通配符

Answer 7

这对我有用：

  <system.webServer>
    <handlers>
      <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
      <remove name="OPTIONSVerbHandler" />
      <remove name="TRACEVerbHandler" />
      <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
    </handlers>
  </system.webServer>

Answer 8

检查是否在 IIS 上安装了 URLScan 工具。 如果是这样，请检查以下部分：

;
; The verbs (aka HTTP methods) listed here are those commonly
; processed by a typical IIS server.
;
; Note that these entries are effective if "UseAllowVerbs=1"
; is set in the [Options] section above.
;

GET
HEAD
POST
OPTIONS

Answer 9

我知道这是一篇旧帖子，但我刚刚遇到了完全相同的问题。

在我的情况下，我为 OWIN 和 WebAPI 都安装了 CORS。 OWIN CORS 中间件早在 OPTIONS 调用进入 WebAPI 之前就已经拦截了它。也许这对将来的其他人有帮助。

Answer 10

我已经为基于 oWin 的 WebAPI 安装了 Microsoft.AspNet.WebApi.Cors 和 Microsoft.Owin.Cors，并在配置中添加了 app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);，如下所示：

public class Startup : IStartup, IAppStartup
{
    public void Configuration(IAppBuilder app)
    {
        var config = this.GetInjectionConfiguration();
        BootstrapperWebApi bootstrapperWebApi = (BootstrapperWebApi)this.GetBootstrapperWebApi(config);

        bootstrapperWebApi.Initialize(true)
        .EnableLogging()
        .DisableWebApiDefaultExceptionHandler();

        WebApiConfig.Register(config);

        app.UseOwinExceptionHandler();

        app.Use<LoggerMiddleware>();

        app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
        //others stuff

    }

Answer 11

我尝试了所有提到的帖子，但对我没有任何帮助，然后我将我的 ASP.Net Web API 2 服务转移到 Windows Server 2012 (IIS 8.5) 并且相同的服务在没有任何更改的情况下工作。所以问题是特定于 Windows 7 机器上的 IIS 7.5 的。

Answer 12

就我而言，我是这样做的：

    <verbs allowUnlisted="true" applyToWebDAV="true">
      <remove verb="OPTIONS"/>
      <add verb="OPTIONS" allowed="true"/>
    </verbs>
  </requestFiltering>
</security>

当我将<add verb="OPTIONS" allowed="true"/> 添加到 web.config 时，应用程序无法启动并出现此错误

HTTP Error 500.19 - Internal Server Error
The requested page cannot be accessed because the related configuration data for the page is invalid.

Cannot add duplicate collection entry of type 'add' with unique key attribute 'verb' set to 'OPTIONS'

所以我必须先删除它。

Answer 13

我也有同样的问题。 OPTIONS 请求返回 200 OK 状态，但它不包含 Access-Control-Allow-Origin 标头。问题是我们的客户网络策略阻止了 OPTIONS 动词请求并以 200 OK 状态响应警告消息。我知道这是旧帖子，但我想与需要的人分享我的案例。

Answer 14

还有一个案例，也许它会为某人节省时间。当我将配置与 HttpConfiguration.EnableCors 一起使用时，一切正常，但是当我使用 web.config 文件时，却因 CORS 错误而失败。在我删除 .vs 文件夹后它开始工作。

Answer 15

<figure>
  <img src="https://i.stack.imgur.com/CbRyM.png" alt="">
  <figcaption> change the OptionsVerbHangle</figcaption>
</figure>

<figure>
  <img src="https://i.stack.imgur.com/wjcMV.png" alt="Minha Figura">
  <figcaption>Adicione * and in the case of php use fastcgimodule</figcaption>
</figure>

<figure>
  <img src="https://i.stack.imgur.com/wRwpi.png" alt="Minha Figura">
  <figcaption>Mapping to folder
 </figcaption>
</figure>

<figure>
  <img src="https://i.stack.imgur.com/hhqJi.png" alt="Minha Figura">
  <figcaption>all verbs
 </figcaption>
</figure>

<figure>
  <img src="https://i.stack.imgur.com/86kKX.png" alt="Minha Figura">
  <figcaption>Select script
 </figcaption>
</figure>

只需按照下图解锁 IIS 中的颜色

enter image description here

enter image description here

enter image description here

enter image description here

enter image description here

enter image description here