401-Antwort für CORS Anfrage in IIS Windows Auth aktiviert

Ich versuche, zu aktivieren, CORS-support in meinen WebAPI-Projekt, und wenn ich Sie aktivieren Sie Anonyme Authentifizierung, dann funktioniert alles einwandfrei, aber mit Windows-Auth + deaktiviert die anonyme Authentifizierung, die OPTIONS-Anfrage gesendet gibt immer einen 401 unauthorized Antwort. Die Seite anfordert, ist es auf der DOMÄNE so sollte in der Lage sein, den Anruf zu tätigen, gibt es eine Möglichkeit, um das Problem ohne deaktivieren der Windows-Authentifizierung?

  • Haben Sie überprüft, ob die Integrierte Windows-Authentifizierung ist tatsächlich unterstützt auf Ihrem Computer? http://technet.microsoft.com/en-us/library/cc754628%28v=WS.10%29.aspx
  • Ja, läuft auf W7 Ultimate & auch auf Server 2008. Ich werde die paste in eine Antwort habe ich von MS, es scheint möglich, nur eben nicht einfach durch irgendwelche Mittel, wir gehen zum Schalter, um eine weitere oauth-Stil statt und trennen unseren API für die anonyme auth, aber Problem-Token zur Autorisierung.
InformationsquelleAutor dariusriggins | 2012-05-23
  1. 37

    Können Sie nur die OPTIONEN, die verb für anonyme Benutzer. 

    <system.web>
  <authentication mode="Windows" />
    <authorization>
      <allow verbs="OPTIONS" users="*"/>
      <deny users="?" />
  </authorization>
</system.web>

    Laut W3C-Spezifikationen, browser schließt Benutzer-Anmeldeinformationen von CORS preflight: https://dvcs.w3.org/hg/cors/raw-file/tip/Overview.html#preflight-request

    • Verlangt das anonyme auth-Modul in IIS aktiviert?
    • Anscheinend ja. "Die anonyme Authentifizierung ermöglicht Benutzern den Zugriff auf die öffentlichen Bereiche Ihrer Website oder FTP-site, ohne mit der Aufforderung, einen Benutzernamen oder Passwort." bit.ly/1wjLdO9
    • Dies sollte die akzeptierte Antwort.
    • Dies FUNKTIONIERT NICHT!
    • Dies absolut nicht funktioniert, aber es gibt ein Manko: die Reihenfolge ist wichtig. Müssen Sie die "zulassen" - tag der ersten und der "deny" - tag zweite. Tun Sie es den anderen Weg herum und Sie werden frustriert sein.
    • Scheint eine saubere Lösung. Nun, wie richte ich diese Konfiguration für asp.net core?
    • Funktioniert Hier (TM)
    • Danke!!!! Ich hätte nie gedacht ich brauchte, um die Reihenfolge zu ändern, nur saved my Sanity.... Dass es behoben.

    InformationsquelleAutor Jan Remunda
  2. 22

    Einige Jahre später, aber durch die Antwort von @dariusriggins und @lex-li ich habe es geschafft, fügen Sie den folgenden code, um meine Globalen.asax:

        public void Application_BeginRequest(object sender, EventArgs e)
    {
        string httpOrigin = Request.Params["HTTP_ORIGIN"];
        if (httpOrigin == null) httpOrigin = "*";
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", httpOrigin);
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, X-Token");
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (Request.HttpMethod == "OPTIONS")
        {
            HttpContext.Current.Response.StatusCode = 200;
            var httpApplication = sender as HttpApplication;
            httpApplication.CompleteRequest();
        }
    }

    den httpOrigin ist eigentlich blickte in eine Liste von erlaubten hosts aber, dass nur komplizierte Dinge. Dies bedeutet, dass alle anderen Anforderungen werden validiert, aber Optionen gibt.

    Vielen Dank für diese Frage, wäre ich verloren gewesen ohne Sie!

    • Ich habe versucht viele verschiedene Möglichkeiten zum aktivieren von CORS mit WebAPI auf dem IIS ausgeführt wird, für eine Eckige 2-client, einschließlich, indem es web.config, data annotations auf meinem controller-Aktionen und aufrufen von 'EnableCors' in der WebApiConfig.Registrieren . Diese Lösung ist der einzige das hat tatsächlich funktioniert mit Windows-Authentifizierung (NTLM), neben sicherstellen, dass die Winkel-2 http-client gesendet wurde withCredentials im HTTP-header. Danke!!!
    • Das ist genial!! Funktioniert wie ein Charme! Sie haben nicht einmal legte es in Application_BeginRequest. Sie können es sogar in Ihrer Seite laden, wenn es nur eine einzelne Seite, die Sie zulassen möchten.
    • Erstellt eine neue Antwort mit mehr Infos weiter unten...
    InformationsquelleAutor Stu
  3. 14

    Von MS:

    Wenn Sie anonyme Authentifizierung deaktivieren, es ist von design, IIS zurückkehren würde, 401, auf jede Anfrage. Wenn Sie aktiviert haben Windows-auth, der 401-Antwort in diesem Fall hätte eine WWW-Authenticate-header an den client starten, einen Authentifizierungs-handshake. Die Frage ist dann, ob der client, dass der Kunde tun kann, Windows-Authentifizierung oder nicht.

    Schließlich, wie es scheint, gibt es möglicherweise eine zugrunde liegende Frage, ob es möglich ist oder nicht konfigurieren einer URL so, dass der anonyme Zugriff erlaubt ist, für ein verb (OPTIONEN, in diesem Fall), brauchen aber Windows-Authentifizierung für alle anderen Verben. IIS nicht unterstützt, dies durch einfache Konfiguration. Es könnte möglich sein, dieses Verhalten durch die Aktivierung Anonyme und Windows-Authentifizierung festlegen von ACLs auf die Inhalte, die den Zugriff verweigern Sie dem anonymen Benutzer, und dann konfigurieren der Handlerzuordnung für die URL in Frage, so dass es nicht überprüfen Sie die Existenz der Datei mit der zugehörigen URL. Aber es würde einige spielen mit ihm, um dies zu bestätigen.

    • Ist nur aufgefallen, dass viele Kerle haben erlebt, dass die 401-Fehler, wenn Ihre Web-API ist geschützt durch Windows-Authentifizierung oder so. CORS preflight-Anfragen nicht enthalten Anmeldeinformationen, so wird IIS reagieren mit 401.2 noch bevor ASP.NET Sie berührt. Ein dirty workaround ist das erstellen einer HTTP-Modul und Haken, um die IIS-pipeline, welche Register auf HttpApplication.BeginRequest Veranstaltung, wo dieses Modul gibt den erwarteten 200-Antwort für die preflight-Anfragen. Diese Problemumgehung gilt nur für IIS 7+ integrierter Modus. Leider ist der Microsoft-support vielleicht nicht bewusst sein, dieser Tipp.
    • Gerade einen blog-post, blog.lextudio.com/2014/11/... mit mehr info auf IIS 6 und classic-Modus.
    • Lesen Ihr blog, aber leider, Sie nicht detail die genaue Umsetzung des BeginRequest-Ereignis, also ich bin mir nicht klar, was alles in den 200-Antwort (z.B. Header, etc.). Ich verstehe, wie zu bauen HttpModules, möchte nur eine Klarstellung auf was zu reagieren, um die preflight-Anfrage.
    • Ich habe soeben die post darauf hinweisen, welche Artikel man Lesen sollte. developer.mozilla.org/en-US/docs/Web/HTTP/... enthält auch Beispiel-Anfragen/ - Antworten, so dass Sie leicht Folgen können.
    • Ich habe gerade gebucht, eine Antwort, die verwendet nur die global.asax, die würde ich nicht bekommen haben in der Nähe, ohne Ihren blog-Artikel. Danke!
    • Ein beliebiges Beispiel für asp.net Kern webapi pls?
    • siehe meine Antwort auf Ihren anderen Beitrag stackoverflow.com/questions/39609811/...

    InformationsquelleAutor dariusriggins
  4. 4

    Der einfachste Weg, um dies zu beheben, erstellen Sie eine rewrite-Regel mit der Bedingung request_method = ^ - OPTIONEN$. Legen Sie dann die Aktion, eine eigene Antwort, auf 200 OK. Dann alle Optionen-Anforderungen reagieren mit 200 statt 401. Wird dieses Update die CORS-Problem.

    Natürlich müssen Sie noch sicherstellen, dass Sie die richtige cross-origin-request-Header.

    Dies wird stop-Optionen, Anträge (die müssen keine Anmeldeinformationen) reagiert mit 401, wenn die integrierte auth aktiviert ist.

    • Sehen Sie alle mögliche Sicherheit Probleme mit diesem?
    InformationsquelleAutor Luke Basil
  5. 4

    Die akzeptierte Antwort ist korrekt, allerdings war ich zur Fehlerbehebung eine rest-api mit einem "Knoten mit iisnode und npm cors-Modul" setup für eine Weile und war nicht zufrieden mit nur der Aktivierung der anonymen Authentifizierung für alle Benutzer. Da es ein Knoten-Anwendung das system.web tag nicht viel tun. Ich landete mit der folgenden Ergänzung auf das web.config:

    <system.webServer>
<security>
  <requestFiltering>
    <hiddenSegments>
      <add segment="node_modules" />
    </hiddenSegments>
  </requestFiltering>
  <authorization>
    <add accessType="Allow" verbs="OPTIONS" users="?" />
    <add accessType="Deny" verbs="GET, PUT, POST, DELETE" users="?" />
  </authorization>
</security>
</system.webServer>
    • "Für Mich gearbeitet" in der IIS - + Basic-Auth, die mit dem gleichen Problem :}
    • Diese Lösung funktionierte für uns in IIS 10-Sieg 2016. Stellen Sie sicher, dass die URL-Autorisierung Rolle/feature installiert ist, als ein Teil des IIS-Sicherheit! Ansonsten ist diese Regel nicht umgesetzt werden.
    InformationsquelleAutor mrplatina
  6. 3

    Ich habe laufen in gleichen Problem heute aufgrund des Fehlers in IE 10 und 11, ich bin mit ServiceStack statt WebApi, aber der Ansatz kann auch für Sie arbeiten.

    1. Aktiviert Windows Integriert und die Anonyme Authentifizierung auf der IIS-Website.
    2. Haben eine Reihe von filtern auf dem ServiceStack Pipeline,
      • Für die Handhabung von Cors und OPTIONEN verlangen, Auf Optionen Anfrage, ich fügen Sie die erforderlichen Kopf-und Ende der Anfrage,
      • Filter für die überprüfung auch HttpRequest Authentifiziert ist?,
      • etc filter,

    Nachdem Sie durch alle Filter, es führt den Dienst aus.

    CorsFeature.cs

    AuthenticateFilter

    In meinem AppHost,

    appHost.Plugins.Add(new CorsFeature());

appHost.RequestFilters.Add(AuthenticateFilter.Authenticate);

    Habe ich geändert, die CorsFeature zu handhaben OptionsRequest neben Sie Header hinzufügen, Prüfen-Filter prüfen-Anforderungen authentifiziert!

    • Hallo, Sie geben ein wenig mehr Details wieder, was du getan hast? Ich bin mit ähnlichen Problemen konfrontiert und bin auch mit ServiceStack eingesetzt, die über SharePoint 2013
    • Ich bin überspringen der überprüfung Ist für authentifizierte Benutzer für OPTIONEN Anfragen. Ich werde das hinzufügen von code-Beispiel.
    InformationsquelleAutor Sathish Naga
  7. 3

    Verwandte Frage: IIS entführt CORS Preflight-OPTIONS-Anfrage

    Zusammenführen von Informationen aus Antworten gefunden, die in mehreren Orten. Wenn Sie brauchen, um CORS auf einer ASP.net Seite Methode mit der Windows-Authentifizierung im intranet, dies ist, was scheint zu funktionieren. Ohne die änderungen zu web.config so funktioniert das nicht.

    Müssen Sie fügen Sie diese an Global.asax

        protected void Application_BeginRequest(object sender, EventArgs e)
    {
        string httpOrigin = HttpContext.Current.Request.Params["HTTP_ORIGIN"] ?? HttpContext.Current.Request.Params["ORIGIN"] ?? "*";
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", httpOrigin);
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, X-Token");
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (HttpContext.Current.Request.HttpMethod == "OPTIONS")
        {
            HttpContext.Current.Response.StatusCode = 200;
            var httpApplication = sender as HttpApplication;
            httpApplication.CompleteRequest();
        }
    }

    Und diese zu web.config

     <system.webServer>
    <handlers>
      <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
      <remove name="OPTIONSVerbHandler" />
      <remove name="TRACEVerbHandler" />
      <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." 
           verb="*" type="System.Web.Handlers.TransferRequestHandler" 
           preCondition="integratedMode,runtimeVersionv4.0" />
    </handlers>
  </system.webServer>
    InformationsquelleAutor Shiroy
  8. 1

    Ich bin mit der Web API und OWIN und ich habe versucht, jeden Vorschlag, aber das einzige was geklappt hat war den folgenden

    //use it in your startup class
app.Use((context, next) =>
{
    if (context.Request.Headers.Any(k => k.Key.Contains("Origin")) && context.Request.Method == "OPTIONS")
    {
        context.Response.StatusCode = 200;
        context.Response.Headers.Add("Access-Control-Allow-Origin", new string[1] { "ALLOWED_ORIGIN" });
        context.Response.Headers.Add("Access-Control-Allow-Headers", new string[4] { "Origin", "X-Requested-With", "Content-Type", "Accept" });
        context.Response.Headers.Add("Access-Control-Allow-Methods", new string[5] { "GET", "POST", "PUT", "DELETE", "OPTIONS" });
        context.Response.Headers.Add("Access-Control-Allow-Credentials", new string[1] { "true" });

        return context.Response.WriteAsync("");
    }

    return next.Invoke();
});

//this is important! Without it, it didn't work (probably because the middleware was too late)
app.UseStageMarker(PipelineStage.Authenticate);

    müssen Sie fügen Sie diesen code irgendwo in Ihre OWIN startup-Klassen.
    Es ist wichtig zu nennen app.UseStageMarker(PipelineStage.Authenticate) weil sonst die preflight-check fehlgeschlagen.
    Weitere infos für UseStageMarker -> https://docs.microsoft.com/en-us/aspnet/aspnet/overview/owin-and-katana/owin-middleware-in-the-iis-integrated-pipeline

    Es ist auch wichtig, dass Sie explizit definieren, die erlaubt Header. Es wird scheitern, wenn Sie * als Platzhalter.

    Vielleicht hilft es jemanden.

    InformationsquelleAutor Arikael
  9. 1

    Ich verstehe, das ist eine alte Frage mit mehreren möglichen Lösungen (sowie weitere Fragen), aber falls jemand anderes auf diesen, IIS CORS 1.0 ist verfügbar ab Nov '17:

    https://blogs.iis.net/iisteam/introducing-iis-cors-1-0

    https://docs.microsoft.com/en-us/iis/extensions/cors-module/cors-module-configuration-reference

    Herunterladen können Sie es über den IIS Windows-Plattform Installer (WPI). Dies sollte zu lösen viele Ihrer CORS-Authentifizierung Probleme. Genießen Sie!

    • Super!!! Ich benutzte die folgenden CORS-config in mein web.config: <cors enabled="true"> <add origin="http://192.168.3.253:5001" allowCredentials="true" maxAge="120"> <allowHeaders allowAllRequestedHeaders="true" /> <allowMethods> <add method="GET" /> <add method="HEAD" /> <add method="POST" /> <add method="PUT" /> <add method="DELETE" /> </allowMethods> </add> </cors>
    InformationsquelleAutor Inphinite Phractals
  10. 0

    Was für mich gearbeitet (bei der Arbeit mit AngularJS oder JQuery) ist das hinzufügen withCredentials:true, um jeder Anforderung auf dem client:

    $http.get("http://localhost:88/api/tests", {withCredentials :true})

    Und ermöglicht CORS auf dem server, dies wurde mit Microsoft.Owin.Cors von nuget und hinzufügen in den Autostart wie folgt:

    public void Configuration(IAppBuilder app)
    {
        HttpConfiguration config = new HttpConfiguration();

        ConfigureOAuth(app);

        WebApiConfig.Register(config);
        app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
        app.UseWebApi(config);

    }

    Referenzen:

    InformationsquelleAutor Philip Patrick
  11. -1

    Aktivieren SupportCredentials auf EnableCorsAttribute in der WebApiConfig.cs hat den trick für mich:

    public static void Register(HttpConfiguration config)
{        
    //enable cors request just from localhost:15136 
    var cors = new EnableCorsAttribute("http://localhost:15136", "*", "*");
    cors.SupportsCredentials = true;
    config.EnableCors(cors);

    //other stuff
}

    https://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api

    Stellen Sie sicher, dass Sie senden Sie die Anmeldeinformationen beim Aufruf aus javascript ({withCredentials :true})

    • Ich versuche das gleiche, aber ohne Zugangsdaten. Kein Glück auch mit anonymous auth auf
    • Dies funktioniert nicht in Chrome. Ich bin mit withCredentials=true und den preflight-OPTIONS-Anfrage immer noch nicht senden Sie die Anmeldeinformationen.
    InformationsquelleAutor Miroslav Adamec
Schreibe einen Kommentar