IIS 中的 CORS 问题与 Access-Control-Allow-Origin 中的凭据和通配符
CORS in IIS issue with credentials and wildcard in Access-Control-Allow-Origin
我继承了一个相当基本的站点,该站点提供数据并处理一些套接字连接。它是 IIS 背后的 运行 NodeJS,使用 iisnode 作为桥梁。从 "serve normal pages" 的角度来看,这一切都很好。
部分问题是与服务器的实际连接来自桌面客户端,其中内容作为小工具通过不同的应用程序加载,并且来自网络、移动设备等的可能变化和变化的部分。等等,即 - 未知数量的客户端域。
我已经将 Access-Control-Allow origin 设置为 * 以打开谷仓门,但现在客户端出现以下错误:
11:29:57.668 Cross-Origin Request Blocked: The Same Origin Policy
disallows reading the remote resource at
‘http://server/socket.io/?EIO=3&transport=polling&t=1486150196479-0’.
(Reason: Credential is not supported if the CORS header
‘Access-Control-Allow-Origin’ is ‘*’). 1 (unknown)
我试图将 Access-Control-Allow-Credentials 显式设置为 false(以及 true,以及完全忽略它)但是 none 我的尝试让我通过了这个。
原始响应 headers 目前看起来像这样:
Access-Control-Allow-Credentials: false
Access-Control-Allow-Headers: Origin,Content-Type,Accept
Access-Control-Allow-Methods: GET,HEAD,PUT,POST,DELETE,OPTIONS
Access-Control-Allow-Origin: *
Cache-Control: no-cache
Content-Encoding: gzip
Content-Length: 969
Content-Type: text/html
Date: Fri, 03 Feb 2017 19:30:21 GMT
Server: Microsoft-IIS/8.5
Vary: Accept-Encoding
X-Powered-By: ASP.NET
在过去几天看了很多 CORS 网站和文章后,我似乎无法弄清楚为什么它仍然抱怨凭据 - 更具体地说,我该如何解决这个问题?
谢谢!
更新 2017-02-06
客户端代码不是很令人兴奋。由于服务器是 IIS 后面的 NodeJS,我真正要做的就是实现套接字连接:
var socket = io('http://' + currentServer, {path: '/broadcast/socket.io', reconnection: false, forceNew: true});
socket.on('update message', function (data) {
// do some fancy things
}
这适用于同一域。
我也一直在根据 sideshowbarker 的评论进行更多挖掘,这些评论让我想到了这个article有一些额外的步骤来添加变量,还有一些其他的东西来让那部分工作。
我的 applicationHost.config 当前包含此部分:
<location path="Default Web Site">
<system.webServer>
<rewrite>
<allowedServerVariables>
<add name="CAPTURED_ORIGIN" />
<add name="RESPONSE_Access-Control-Allow-Origin" />
</allowedServerVariables>
</rewrite>
</system.webServer>
</location>
我的 web.config 在这里:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Fail bad requests">
<match url="." />
<conditions>
<add input="{HTTP_HOST}" negate="true" pattern="localhost" />
</conditions>
<action type="AbortRequest" />
</rule>
<rule name="Capture Origin Header">
<match url=".*" />
<conditions>
<add input="{HTTP_ORIGIN}" pattern=".+" />
</conditions>
<serverVariables>
<set name="CAPTURED_ORIGIN" value="{C:0}" />
</serverVariables>
<action type="None" />
</rule>
</rules>
<outboundRules>
<rule name="Set-Access-Control-Allow-Origin for known origins">
<match serverVariable="RESPONSE_Access-Control-Allow-Origin" pattern=".+" negate="true" />
<!--<action type="Rewrite" value="{C:0}" /> -->
</rule>
</outboundRules>
</rewrite>
<tracing>
<traceFailedRequests>
<add path="*">
<traceAreas>
<add provider="ASP" verbosity="Verbose" />
<add provider="ASPNET" areas="Infrastructure,Module,Page,AppServices" verbosity="Verbose" />
<add provider="ISAPI Extension" verbosity="Verbose" />
<add provider="WWW Server" areas="Authentication,Security,Filter,StaticFile,CGI,Compression,Cache,RequestNotifications,Module,FastCGI,WebSocket" verbosity="Verbose" />
</traceAreas>
<failureDefinitions statusCodes="400-599" />
</add>
</traceFailedRequests>
</tracing>
</system.webServer>
</configuration>
在 outboundRules 上,我目前将 action type="Rewrite" 行注释掉了,因为当我启用它时,它会抛出一个错误。
HTTP Error 500.52 - URL Rewrite Module Error.
The page cannot be displayed because an internal server error has occurred.
Most likely causes:
•IIS received the request; however, an internal error occurred during the processing of the request. The root cause of this error depends on which module handles the request and what was happening in the worker process when this error occurred.
•IIS was not able to access the web.config file for the Web site or application. This can occur if the NTFS permissions are set incorrectly.
•IIS was not able to process configuration for the Web site or application.
•The authenticated user does not have permission to use this DLL.
•The request is mapped to a managed handler but the .NET Extensibility Feature is not installed.
Detailed Error Information:
Module: RewriteModule
Notification: SendResponse
Handler: StaticFile
Error Code: 0x80070585
Requested URL: http://localhost:80/iisstart.htm
Physical Path: C:\inetpub\wwwroot\iisstart.htm
Logon Method: Anonymous
Logon User: Anonymous
Request Tracing Directory: C:\inetpub\logs\FailedReqLogFiles
失败的请求日志并不过分有用,它们显示以下警告:
411. -MODULE_SET_RESPONSE_ERROR_STATUS
ModuleName: RewriteModule
Notification: SEND_RESPONSE
HttpStatus: 500
HttpReason: URL Rewrite Module Error.
HttpSubStatus: 52
ErrorCode: Invalid index. (0x80070585)
ConfigExceptionInfo:
该问题没有显示发送导致该错误的请求的客户端代码,但是:
客户端代码必须使用 XHR 或带有选项 object 的 Fetch API (or using jQuery or other library that calls one of those), and that code is either setting the XHR withCredentials property to true or is calling the Fetch Request constructor,其中 credentials 选项设置为 include。
如果是这种情况并且服务器响应有 Access-Control-Allow-Origin: * header,您的浏览器将记录问题中引用的错误。
所以一个解决方案是更改 JavaScript 客户端代码,这样它就不会将 XHR withCredentials 设置为 true 并且不会使用 credentials: 'include' 调用 Fetch Request 构造函数。
另一种解决方案是让您的 server-side 代码采用 Origin request-header 值并将其回显到 Access-Control-Allow-Origin response-header 值。
对于 IIS,您可以使用 URL Rewrite Module 通过将以下内容添加到您的 IIS 配置文件(Web.config 或 ApplicationHost.config 文件 %SystemDrive%\inetpub\wwwroot\ 中)。
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Capture Origin Header">
<match url=".*" />
<conditions>
<add input="{HTTP_ORIGIN}" pattern=".+" />
</conditions>
<serverVariables>
<set name="CAPTURED_ORIGIN" value="{C:0}" />
</serverVariables>
<action type="None" />
</rule>
</rules>
<outboundRules>
<rule name="Set-Access-Control-Allow-Origin for known origins">
<match serverVariable="RESPONSE_Access-Control-Allow-Origin"
pattern=".+" negate="true" />
<action type="Rewrite" value="{CAPTURED_ORIGIN}" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
然后删除任何其他现有 code/config 设置 Access-Control-Allow-Origin: *。
注意:以上是step-by-step指南Enable CORS for specific domains in IIS using URL Rewrite.
中示例配置文件的修改版本
我遇到了同样的问题,我在一个网站上同时绑定了 http 和 https Access-Control-Allow-Origin:*
在这种情况下,http 请求将因上述错误而失败。
您可以为 http 绑定创建一个单独的网站并从中删除 Access-Control-Allow-Origin header。
只是为了结束这个循环。关于此问题,上面发布的答案和建议对于仅限 IIS 的网站非常有效。
我的问题是 IIS-Node 库中的一些错误最终迫使我将整个堆栈迁移到 NodeJS 和 运行 所有模块直接在 Node 中。
我继承了一个相当基本的站点,该站点提供数据并处理一些套接字连接。它是 IIS 背后的 运行 NodeJS,使用 iisnode 作为桥梁。从 "serve normal pages" 的角度来看,这一切都很好。
部分问题是与服务器的实际连接来自桌面客户端,其中内容作为小工具通过不同的应用程序加载,并且来自网络、移动设备等的可能变化和变化的部分。等等,即 - 未知数量的客户端域。
我已经将 Access-Control-Allow origin 设置为 * 以打开谷仓门,但现在客户端出现以下错误:
11:29:57.668 Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at ‘http://server/socket.io/?EIO=3&transport=polling&t=1486150196479-0’. (Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’). 1 (unknown)
我试图将 Access-Control-Allow-Credentials 显式设置为 false(以及 true,以及完全忽略它)但是 none 我的尝试让我通过了这个。
原始响应 headers 目前看起来像这样:
Access-Control-Allow-Credentials: false
Access-Control-Allow-Headers: Origin,Content-Type,Accept
Access-Control-Allow-Methods: GET,HEAD,PUT,POST,DELETE,OPTIONS
Access-Control-Allow-Origin: *
Cache-Control: no-cache
Content-Encoding: gzip
Content-Length: 969
Content-Type: text/html
Date: Fri, 03 Feb 2017 19:30:21 GMT
Server: Microsoft-IIS/8.5
Vary: Accept-Encoding
X-Powered-By: ASP.NET
在过去几天看了很多 CORS 网站和文章后,我似乎无法弄清楚为什么它仍然抱怨凭据 - 更具体地说,我该如何解决这个问题?
谢谢!
更新 2017-02-06
客户端代码不是很令人兴奋。由于服务器是 IIS 后面的 NodeJS,我真正要做的就是实现套接字连接:
var socket = io('http://' + currentServer, {path: '/broadcast/socket.io', reconnection: false, forceNew: true});
socket.on('update message', function (data) {
// do some fancy things
}
这适用于同一域。
我也一直在根据 sideshowbarker 的评论进行更多挖掘,这些评论让我想到了这个article有一些额外的步骤来添加变量,还有一些其他的东西来让那部分工作。
我的 applicationHost.config 当前包含此部分:
<location path="Default Web Site">
<system.webServer>
<rewrite>
<allowedServerVariables>
<add name="CAPTURED_ORIGIN" />
<add name="RESPONSE_Access-Control-Allow-Origin" />
</allowedServerVariables>
</rewrite>
</system.webServer>
</location>
我的 web.config 在这里:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Fail bad requests">
<match url="." />
<conditions>
<add input="{HTTP_HOST}" negate="true" pattern="localhost" />
</conditions>
<action type="AbortRequest" />
</rule>
<rule name="Capture Origin Header">
<match url=".*" />
<conditions>
<add input="{HTTP_ORIGIN}" pattern=".+" />
</conditions>
<serverVariables>
<set name="CAPTURED_ORIGIN" value="{C:0}" />
</serverVariables>
<action type="None" />
</rule>
</rules>
<outboundRules>
<rule name="Set-Access-Control-Allow-Origin for known origins">
<match serverVariable="RESPONSE_Access-Control-Allow-Origin" pattern=".+" negate="true" />
<!--<action type="Rewrite" value="{C:0}" /> -->
</rule>
</outboundRules>
</rewrite>
<tracing>
<traceFailedRequests>
<add path="*">
<traceAreas>
<add provider="ASP" verbosity="Verbose" />
<add provider="ASPNET" areas="Infrastructure,Module,Page,AppServices" verbosity="Verbose" />
<add provider="ISAPI Extension" verbosity="Verbose" />
<add provider="WWW Server" areas="Authentication,Security,Filter,StaticFile,CGI,Compression,Cache,RequestNotifications,Module,FastCGI,WebSocket" verbosity="Verbose" />
</traceAreas>
<failureDefinitions statusCodes="400-599" />
</add>
</traceFailedRequests>
</tracing>
</system.webServer>
</configuration>
在 outboundRules 上,我目前将 action type="Rewrite" 行注释掉了,因为当我启用它时,它会抛出一个错误。
HTTP Error 500.52 - URL Rewrite Module Error.
The page cannot be displayed because an internal server error has occurred.
Most likely causes:
•IIS received the request; however, an internal error occurred during the processing of the request. The root cause of this error depends on which module handles the request and what was happening in the worker process when this error occurred.
•IIS was not able to access the web.config file for the Web site or application. This can occur if the NTFS permissions are set incorrectly.
•IIS was not able to process configuration for the Web site or application.
•The authenticated user does not have permission to use this DLL.
•The request is mapped to a managed handler but the .NET Extensibility Feature is not installed.
Detailed Error Information:
Module: RewriteModule
Notification: SendResponse
Handler: StaticFile
Error Code: 0x80070585
Requested URL: http://localhost:80/iisstart.htm
Physical Path: C:\inetpub\wwwroot\iisstart.htm
Logon Method: Anonymous
Logon User: Anonymous
Request Tracing Directory: C:\inetpub\logs\FailedReqLogFiles
失败的请求日志并不过分有用,它们显示以下警告:
411. -MODULE_SET_RESPONSE_ERROR_STATUS
ModuleName: RewriteModule
Notification: SEND_RESPONSE
HttpStatus: 500
HttpReason: URL Rewrite Module Error.
HttpSubStatus: 52
ErrorCode: Invalid index. (0x80070585)
ConfigExceptionInfo:
该问题没有显示发送导致该错误的请求的客户端代码,但是:
客户端代码必须使用 XHR 或带有选项 object 的 Fetch API (or using jQuery or other library that calls one of those), and that code is either setting the XHR withCredentials property to true or is calling the Fetch Request constructor,其中 credentials 选项设置为 include。
如果是这种情况并且服务器响应有 Access-Control-Allow-Origin: * header,您的浏览器将记录问题中引用的错误。
所以一个解决方案是更改 JavaScript 客户端代码,这样它就不会将 XHR withCredentials 设置为 true 并且不会使用 credentials: 'include' 调用 Fetch Request 构造函数。
另一种解决方案是让您的 server-side 代码采用 Origin request-header 值并将其回显到 Access-Control-Allow-Origin response-header 值。
对于 IIS,您可以使用 URL Rewrite Module 通过将以下内容添加到您的 IIS 配置文件(Web.config 或 ApplicationHost.config 文件 %SystemDrive%\inetpub\wwwroot\ 中)。
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Capture Origin Header">
<match url=".*" />
<conditions>
<add input="{HTTP_ORIGIN}" pattern=".+" />
</conditions>
<serverVariables>
<set name="CAPTURED_ORIGIN" value="{C:0}" />
</serverVariables>
<action type="None" />
</rule>
</rules>
<outboundRules>
<rule name="Set-Access-Control-Allow-Origin for known origins">
<match serverVariable="RESPONSE_Access-Control-Allow-Origin"
pattern=".+" negate="true" />
<action type="Rewrite" value="{CAPTURED_ORIGIN}" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
然后删除任何其他现有 code/config 设置 Access-Control-Allow-Origin: *。
注意:以上是step-by-step指南Enable CORS for specific domains in IIS using URL Rewrite.
中示例配置文件的修改版本我遇到了同样的问题,我在一个网站上同时绑定了 http 和 https Access-Control-Allow-Origin:* 在这种情况下,http 请求将因上述错误而失败。 您可以为 http 绑定创建一个单独的网站并从中删除 Access-Control-Allow-Origin header。
只是为了结束这个循环。关于此问题,上面发布的答案和建议对于仅限 IIS 的网站非常有效。
我的问题是 IIS-Node 库中的一些错误最终迫使我将整个堆栈迁移到 NodeJS 和 运行 所有模块直接在 Node 中。