Azure 存储 CORS 返回源通配符并在浏览器中失败

Question

在 Azure Blob 存储上启用 CORS 时，几乎可以设置所有内容，但“...Allow-Credentials” header 除外，该 header 始终为 true。

因此，当对 origin-header 使用通配符时，飞行前请求可以正常工作并将通配符转换为实际的来源。

但后续的GET请求不会转换通配符并返回以下组合:

Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true

这在 Chrome 中是非法的(可能其他浏览器也是如此)。错误是

XMLHttpRequest cannot load ...
A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true.
Origin 'http://localhost' is therefore not allowed access. 

在新的 WebAPI v2 CORS 包中，通配符被替换为实际来源。 另外，为什么在对 blob 存储的请求中需要 cookie 等凭据？最好把它关掉。

当我想使用原始通配符时，如何解决这个问题？

更新

这是我在 App_Start 上运行的初始化代码

public static void Initialize()
{
    // Azure blob storage settings
    var storageAccount = CloudStorageAccount.Parse(ConfigurationManager.ConnectionStrings["AzureStorage"].ConnectionString);
    var client = storageAccount.CreateCloudBlobClient();
    var serviceProperties = client.GetServiceProperties();
    serviceProperties.Cors = new CorsProperties();

    serviceProperties.Cors.CorsRules.Add(new CorsRule()
    {
        AllowedHeaders = new List<string>() { "*" },
        AllowedOrigins = new List<string>() { "*" },
        AllowedMethods = CorsHttpMethods.Get,
        ExposedHeaders = new List<string>() { "*" },
        MaxAgeInSeconds = 3600
    });

    client.SetServiceProperties(serviceProperties);
}

Answer 1

您遇到的错误是由于将 xmlhttpreqeust 上的 withCredentials 属性设置为 true 造成的，在这种情况下，浏览器将拒绝通配符 Access-Control-Allow-Origin。

In the new WebAPI v2 CORS package wildcards are replaced with the actual origin.

返回通配符是启用缓存的正确选择，请看以下场景:

• 用户 A 向 MAS(Microsoft Azure 存储)上的公共(public) blob 发送 GET 请求。
• 如果您使用 CDN/代理来缓存公共(public)资源(这是最佳实践)，则 CDN 将缓存 Blob，并将 Access-Control-Allow-Origin 设置为“*”。
• 现在，用户 B 向 MAS 发送相同的请求，并从缓存中获取响应，在这种情况下，由于缓存的 blob 具有通配符 Access-Control-Allow-Origin，浏览器将允许该请求，而您无需这样做命中 MAS 服务器。

现在，在您始终返回实际来源的另一种情况下，您无法为多个客户端缓存该资源，因为如果 Access-Control-Allow-Origin 的实际来源不同于请求原始 header 。

Also, why would I need credentials such as cookies in a request to the blob storage? Better turn it off.

您将需要凭据，因为发送经过身份验证的请求的一种方法是使用授权 header ，如果预检请求不允许这样做，那么浏览器应该使带有授权 header 的实际请求失败。