Почему CORS блокирует POST запросы, в то время как GET запросы выполняются без проблем?

Question

BlazeBard

react , .net

Почему CORS блокирует POST запросы, в то время как GET запросы выполняются без проблем?

У меня есть приложение, в котором серверная часть разработана на .NET 8, а клиентская — на React. В приложении используется Windows-аутентификация. При тестировании локально оба типа запросов (POST и GET) работают корректно. Однако после публикации на IIS POST-запросы перестают функционировать, в то время как GET-запросы продолжают работать. Вот код из файла Program.cs: 

```csharp
using Microsoft.AspNetCore.Authentication.Cookies;
using Microsoft.AspNetCore.Identity;
using Microsoft.EntityFrameworkCore;
using Api_S.Models;
using Microsoft.AspNetCore.Authentication.Negotiate;
using Microsoft.AspNetCore.Cors.Infrastructure;

var builder = WebApplication.CreateBuilder(args);

var connectionString = builder.Configuration.GetConnectionString("DefaultConnection");
builder.Services.AddDbContext&lt;GENERALContext&gt;(options =&gt;
    options.UseSqlServer(connectionString));
builder.Services.AddDatabaseDeveloperPageExceptionFilter();

builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();

builder.Services.AddCors(options =&gt; {
options.AddPolicy(name: "MyAllowSpecificOrigins", 
    policy =&gt; 
    {
policy
        .WithOrigins("http://localhost:3000", "http://s38vm:84", "https://localhost:3000", "http://s38vm:83", "https://s38vm:84")
        .AllowAnyHeader() 
        .AllowAnyMethod() 
        .AllowCredentials(); }); });

builder.Services.AddAuthentication(NegotiateDefaults.AuthenticationScheme)
    .AddNegotiate();
builder.Services.AddAuthorization(options =&gt;
{
    options.FallbackPolicy = options.DefaultPolicy;
});

builder.Services.AddControllers();

var app = builder.Build();

app.UseCors("MyAllowSpecificOrigins");

if (app.Environment.IsDevelopment())
{
    app.UseSwagger();
    app.UseSwaggerUI();
}

app.UseAuthentication();
app.Use
```

Что может быть причиной неработоспособности POST-запросов после развертывания на IIS?

17 января 2025 г. 11:53

Ответы на вопрос 3

Похожие вопросы

Answer 1

Проблема с POST-запросами, которые не выполняются после развертывания на IIS, может быть связана с несколькими причинами. Вот некоторые из них, которые стоит проверить:

1. **CORS Политика**:
Убедитесь, что ваша политика CORS правильно настроена. Вы облегчите это, изменив настройки для разрешения доступа только для ваших доменов. Возможно, вам нужно добавить новые URL, если у вас изменились адреса после развертывания. В вашем случае вы уже добавили несколько источников, но стоит проверить, соответствует ли адрес клиента тому, что указано в политике.

2. **Content-Type и Preflight Requests**:
POST-запросы могут инициировать Preflight-запросы (OPTIONS), чтобы проверить, разрешены ли определённые методы или заголовки. Убедитесь, что ваш сервер правильно обрабатывает OPTIONS-запросы и возвращает корректный ответ с соответствующими заголовками CORS. В .NET это можно сделать с помощью CORS Middleware, который вы уже используете.

3. **Параметры IIS**:
Убедитесь, что ваш IIS настроен на поддержку CORS. В некоторых случаях может понадобиться изменить параметры IIS или добавить соответствующие заголовки. Проверьте настройки `web.config` на наличие директив, которые могут блокировать POST-запросы.

4. **Ошибка аутентификации**:
Возможно, ваш сервер возвращает ошибку аутентификации при обработке POST-запросов. Убедитесь, что аутентификация и авторизация работают правильно на серверах, где развернуто приложение. Особенно важно следить за тем, чтобы не возникло конфликтов между Windows-аутентификацией и CORS.

5. **Заголовки и данные**:
Убедитесь, что вы отправляете правильные заголовки и данные в POST-запросах. Даже небольшие отличия (например, использование неправильного `Content-Type`) могут привести к блокировке запроса.

6. **Логи и диагностика**:
Просмотрите логи вашего сервера (IIS и приложение) для более подробной информации о том, почему запросы могут блокироваться. Это может дать подсказки о происходящих ошибках, когда вы пытаетесь выполнить POST-запросы.

### Что можно сделать:

- Проверьте, что ваш механизм аутентификации и механизм CORS правильно настроены и что предшествующий запрос OPTIONS проходит без проблем.
- Убедитесь, что все изменения в конфигурации IIS корректны и не блокируют выполнять задачи, связанные с обработкой POST-запросов.
- Используйте инструменты для разработчиков в браузере (например, вкладка "Сеть"), чтобы отследить, какие запросы выполняются, и какие заголовки и статусы они возвращают.
- Попробуйте временно отключить аутентификацию на сервере, чтобы проверить, не в этом ли проблема.

Если вы проверите все эти аспекты и проблема все еще сохраняется, предоставьте больше информации о том, какие ошибки (если они есть) возникают при выполнении POST-запросов, чтобы можно было более точно определить источник проблемы.

Answer 2

Для POST-запроса, подпадающего под политику CORS, браузеры предварительно отправляют preflight-запрос OPTIONS. Бэкенд должен обрабатывать запрос OPTIONS и возвращать ответ 20x с установленными CORS-заголовками. 
 https://developer.mozilla.org/en-US/docs/Glossary/...

Answer 3

Есть подозрение, что к s38vm (это имя компьютера, да?) при запросе из браузера добавляется доменный суфикс компьютера. Проверяйте по логам IIS, на какое  имя у вас приходят запросы POST.