发讯人:

如果您禁用匿名认证, IMS就会特意将401个请求归还给任何请求。 如果他们启用了 Windows 验证, 那么在这种情况下的 401 响应将会有一个 WWW- 授权信头允许客户启动认证握手。 问题就在于客户所使用的客户是否能够进行 Windows 验证 。

最后,似乎可能存在一个潜在的问题,即是否可能配置一个 URL, 这样允许一个动词( OPtions, 在本案中) 匿名访问, 但却需要其他动词的 Windows 认证。 IIS 不通过简单的配置支持这一点。 允许匿名和 Windows 认证, 设定拒绝匿名用户访问的内容的ACL, 然后配置有关 URL 的处理器映射, 以便它不核实与 URL 相关的文件的存在。 但是, 需要一些玩家才能确认这一点 。

您只能允许匿名用户选择动词 。

<system.web>
  <authentication mode="Windows" />
    <authorization>
      <allow verbs="OPTIONS" users="*"/>
      <deny users="?" />
  </authorization>
</system.web>

根据W3C规格,浏览器排除了CORS飞行前的用户证书:IE 10 and 11 , 我使用ServiceStack而不是WebApi, 但这个方法也可以为你服务。

1. Enabled Windows Integrated and Anonymous Authentication on IIS Web Site.
2. Have a series of filters on the ServiceStack Pipeline,
   • For handling Cors and OPTIONS request, On Options request, I add necessary headers and end the request,
   • Filter for checking includng HttpRequest is Authenticated?,
   • etc filter,

在通过所有过滤器后,它执行服务。

< a href=" "https://gist.github.com/SathishN/e0f298b8679d028def0b" rel = "no follow" >CorsFeture.cs

< a href=>"https://gist.github.com/SathishN/50c5c717028b6bcaf405" rel=“nown't follow" >授权Filter

在我的AppHost, 在我的AppHost,

appHost.Plugins.Add(new CorsFeature());

appHost.RequestFilters.Add(AuthenticateFilter.Authenticate);

除了添加信头、 验证过滤器以检查认证的请求外, 我已修改 CorsFature 来处理选项请求!

对我来说(在与角JS或JQuery合作时),

$http.get("http://localhost:88/api/tests", {withCredentials :true})

在服务器上启用 CORS, 这是与微软. Owin. Cors 一起完成的, 来自核元的微软. Owin. Cors, 然后在启动中添加它, 如以下 :

public void Configuration(IAppBuilder app)
    {
        HttpConfiguration config = new HttpConfiguration();

        ConfigureOAuth(app);

        WebApiConfig.Register(config);
        app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
        app.UseWebApi(config);

    }

参考文献:

• CORS on server (see step 11): http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net-identity/
• CORS on client: http://brockallen.com/2012/12/15/cors-and-windows-authentication/

我使用网络API和OWIN,我尝试了每一个建议的解决办法,但唯一有效的是:

//use it in your startup class
app.Use((context, next) =>
{
    if (context.Request.Headers.Any(k => k.Key.Contains("Origin")) && context.Request.Method == "OPTIONS")
    {
        context.Response.StatusCode = 200;
        context.Response.Headers.Add("Access-Control-Allow-Origin", new string[1] { "ALLOWED_ORIGIN" });
        context.Response.Headers.Add("Access-Control-Allow-Headers", new string[4] { "Origin", "X-Requested-With", "Content-Type", "Accept" });
        context.Response.Headers.Add("Access-Control-Allow-Methods", new string[5] { "GET", "POST", "PUT", "DELETE", "OPTIONS" });
        context.Response.Headers.Add("Access-Control-Allow-Credentials", new string[1] { "true" });

        return context.Response.WriteAsync("");
    }

    return next.Invoke();
});

//this is important! Without it, it didn t work (probably because the middleware was too late)
app.UseStageMarker(PipelineStage.Authenticate);

you need to insert this code somewhere in one of your OWIN startup classes. It s important to call app.UseStageMarker(PipelineStage.Authenticate) because otherwise the preflight check failed. Further infos for UseStageMarker -> https://learn.microsoft.com/en-us/aspnet/aspnet/overview/owin-and-katana/owin-middleware-in-the-iis-integrated-pipeline

同样重要的是,您需要明确定义允许的页眉。如果使用作为占位符,则会失败。