我有一个 ASP.NET Web API,由三个不同的 SPA 调用。我正在为 Web API 使用 Windows 身份验证。我最初尝试在 Web.config 中配置 CORS,如下所示:
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="http://localhost:63342" />
<add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE" />
<add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept" />
<add name="Access-Control-Allow-Credentials" value="true" />
</customHeaders>
</httpProtocol>
这导致了这个预检问题:
Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin (...) is therefore not allowed access.
我通过在 Global.asax.cs 中添加以下方法解决了这个问题:
protected void Application_BeginRequest()
{
if (Request.Headers.AllKeys.Contains("Origin") && Request.HttpMethod == "OPTIONS")
{
Response.Flush();
}
}
这种方法对于单个 SPA 非常有效。我认为我可以转到 Web.config 并添加其他来源,如下所示:
<add name="Access-Control-Allow-Origin" value="http://localhost:63342,http://localhost:63347,http://localhost:63345/>
但显然这是不允许的。这产生了以下错误:
The 'Access-Control-Allow-Origin' header contains multiple values (...), but only one is allowed. Origin (...) is therefore not allowed access.
因此,为了尝试解决此问题,我改变了方法,决定尝试在 WebAPIConfig.cs 上的 Register 方法中配置 CORS,如下所示:
var cors = new EnableCorsAttribute("http://localhost:63342,http://localhost:63347,http://localhost:63345", "Origin, X-Requested-With, Content-Type, Accept", "GET, POST, PUT, DELETE");
cors.SupportsCredentials = true;
config.EnableCors(cors);
我认为这会起作用,但现在在使用 PUT 和 DELETE 请求时再次出现预检错误,并且我不知道如何解决此问题。我调试了 Application_BeginRequest 方法,但它仍在刷新 OPTIONS 请求,因此我不知道是什么导致了此错误。有谁知道我该如何解决这个问题?
EDIT:
打印预检错误: