由于每个响应只能允许输入一个起始条目,因此您需要检查飞行前请求中的Origin标题以确定是否允许或不允许,然后相应地写入Access-Control-Allow-Origin标头值。
IIS 7.0+中最简单的方法可能是编写一个自定义处理程序并注册它以处理对/v2/auth/ uri路径的OPTIONS请求。
我还没有在一段时间写的IIS扩展,所以这是在允许任何Origin相同的命名空间内的粗尝试(mydomain.com):
public class MultipleOriginHandler : IHttpHandler
{
public bool IsReusable
{
get { return true; }
}
public void ProcessRequest(HttpContext ctx)
{
Uri origin;
if(String.Compare(ctx.Request.HttpMethod,"OPTIONS",true) != 0)
return; // not an OPTIONS request,
if(!Uri.TryCreate(ctx.Request.Headers.Get("Origin"), UriKind.RelativeOrAbsolute, out origin))
return; // failed to extract Origin URI
if(origin.Host.EndsWith(".mydomain.com") || origin.Host == "mydomain.com"){
// Request came from one of our own sites, let's allow it
ctx.Response.AppendHeader("Access-Control-Allow-Origin",String.Format("{0}://{1}",origin.Scheme,origin.Host));
}
return;
}
}
唯一的选择我能想到的是做一些事情类似的URL Rewrite module
如果你想允许基于请求是否是需要认证的,而不是产地是否在某个主机命名空间中,你能做到这一点还有:
if(ctx.User.Identity.IsAuthenticated){
// Request was authenticated
ctx.Response.AppendHeader("Access-Control-Allow-Origin",String.Format("{0}://{1}",origin.Scheme,origin.Host));
}