我看到你遇到了一个有点迷惑的CORS问题——控制台提示"CORS policy execution successful"，但前端还是报出No 'Access-Control-Allow-Origin' header is present on the requested resource的错误。这大概率是中间件执行顺序错误和冗余配置冲突导致的，咱们一步步来修复：

问题根源拆解 #

1. 中间件顺序颠倒：app.UseCors必须在app.UseStaticFiles之前注册，因为.NET Core的中间件是按注册顺序处理请求的。你的代码里先加载了静态文件中间件，请求到静态文件时直接返回响应，CORS中间件根本没机会介入处理，自然不会添加跨域响应头。
2. 冗余配置冲突：你既通过CORS中间件配置了跨域规则，又在StaticFileOptions里手动添加CORS响应头，这可能导致规则冲突；另外services.AddCors里重复写了AllowAnyOrigin()，属于冗余代码。
3. 重复注册Controllers：代码里两次调用services.AddControllers()，会覆盖之前的配置（比如你添加的NewtonsoftJson序列化规则）。

修正后的完整Startup.cs代码 #

第一步：修复ConfigureServices方法

public void ConfigureServices (IServiceCollection services) {
    // 只注册一次Controllers，保留NewtonsoftJson序列化配置
    services.AddControllers()
        .AddNewtonsoftJson(options => {
            options.SerializerSettings.ReferenceLoopHandling = Newtonsoft.Json.ReferenceLoopHandling.Ignore;
        });

    // MVC兼容性配置（如果不需要可以移除，因为已通过AddControllers注册了核心控制器服务）
    services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

    var key = Encoding.ASCII.GetBytes("this is the secret phrase");
    services.AddAuthentication(x => {
        x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
        x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
    })
    .AddJwtBearer(x => {
        x.RequireHttpsMetadata = false;
        x.SaveToken = true;
        x.TokenValidationParameters = new TokenValidationParameters {
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(key),
            ValidateIssuer = false,
            ValidateAudience = false
        };
    });

    // 简化CORS配置，移除重复的AllowAnyOrigin
    services.AddCors(options => {
        options.AddPolicy("CorsPolicy", builder => {
            builder.AllowAnyOrigin()
                   .AllowAnyMethod()
                   .AllowAnyHeader();
        });
    });

    services.AddDbContext<RailOpsContext>(options => 
        options.UseSqlServer(Configuration.GetConnectionString("RailOpsContext")));
}

第二步：修复Configure方法（核心调整：中间件顺序）

public void Configure (IApplicationBuilder app, IWebHostEnvironment env) {
    if (env.IsDevelopment()) {
        app.UseDeveloperExceptionPage();
    }

    app.UseHttpsRedirection();
    
    // 关键：先注册CORS中间件，确保所有请求（包括静态文件）都经过跨域规则处理
    app.UseCors("CorsPolicy");

    app.UseDefaultFiles();
    // 移除StaticFileOptions里手动添加的CORS头，让CORS中间件统一管理跨域响应头
    app.UseStaticFiles();
    app.UseStaticFiles(new StaticFileOptions {
        FileProvider = new PhysicalFileProvider(Path.Combine(Directory.GetCurrentDirectory(), "Uploads")),
        RequestPath = new Microsoft.AspNetCore.Http.PathString("/Uploads")
    });

    app.UseRouting();
    app.UseAuthentication();
    app.UseAuthorization();

    app.UseEndpoints(endpoints => {
        endpoints.MapControllers();
    });
}

验证步骤 #

1. 完全重启你的.NET Core服务（热重载可能无法生效，建议手动重启）
2. 前端重新发起请求，打开浏览器开发者工具的Network标签，检查静态文件请求的响应头是否包含Access-Control-Allow-Origin: *
3. 确认控制台的"CORS policy execution successful"提示和前端请求的响应头匹配

这样调整后，静态文件请求会先经过CORS中间件处理，控制台的提示才是真正生效的状态，前端也不会再报跨域错误了。

内容的提问来源于stack exchange，提问作者Soufian Chaoui