Мы используем веб-API и OWIN для создания собственных поставщиков аутентификации и авторизации. Все это отлично работает, но теперь перед нами стоит задача разрешить запросы CORS.
CorsHttpConfigurationExtensions
работает для нашего API, и мы также обработали запрос токена с помощью CorsExtensions
. Но вот в чем дело: эта строка
app.UseCors(CorsOptions.AllowAll);
в Startup.ConfigureAuth()
разрешены все источники, элементы заголовков и методы, не так ли? Это эквивалент
config.EnableCors(new EnableCorsAttribute("*", "*", "*"));
в WebApiConfig.Configure()
- верно? Существует только одно значение перечисления AllowAll
для CorsOptions
. И некуда украшать маршрут токена каким-либо атрибутом.
Меня не так волнуют заголовки и глаголы (методы); предположительно сборка OWIN обрабатывает их, например, ограничивая POST. Но мы действительно хотели бы ограничить заголовки происхождения определенными доменами. Кто-нибудь знает, как мы могли это сделать?