веб-API - отключить происхождение не работает

Question

Я хочу разрешить доступ к моему веб-интерфейсу только для одного источника.Я попробовал следующие шаги:

1.добавить эти строки в WebApiConfig:

 var cors = new EnableCorsAttribute("https://allow-access.com", "*", "*");
 config.EnableCors(cors);

2.добавить этот атрибут над ApiController:

[EnableCors(origins: "https://allow-access.com", headers: "*", methods: "*")]

, но все ещеAPI позволяют доступ ко всем источникам.У кого-то есть идея, почему?

Answer 1

Технически, нижеследующее утверждение включит CORS только для одного источника "https://allow-access.com"

var cors = new EnableCorsAttribute("https://allow-access.com", "*", "*");
 config.EnableCors(cors);

Я не уверен, как вы тестируете свой API для всех источников, но согласно официальному документация , только это включит все источники в Web API:

// Allow CORS for all origins. (Caution!)
[EnableCors(origins: "*", headers: "*", methods: "*")]