下面的答案是针对c#的，但是这个概念应该适用于所有不同的平台。

为了允许来自web api的跨源请求，你需要允许应用程序的选项请求，并在控制器级别添加下面的注释。

[EnableCors UrlString、头、方法) 现在原点只能传递一个s字符串。因此，如果你想在请求中传递多个URL，请以逗号分隔。

UrlString = https://a.hello.com, https://b.hello.com”

我有https://stackoverflow.com/a/7454204/13779574这段代码工作得很好，但当用户进入该页面时给出一个错误。 我用这段代码解决了这个问题。

if (isset($_SERVER['HTTP_ORIGIN'])) {
   $http_origin = $_SERVER['HTTP_ORIGIN'];
   if ($http_origin == "http://localhost:3000" || $http_origin == "http://api.loc/"){  
      header("Access-Control-Allow-Origin: $http_origin");
   }
}

也许我错了，但据我所知，Access-Control-Allow-Origin有一个“origin-list”作为参数。

根据定义，origin-list为:

origin            = "origin" ":" 1*WSP [ "null" / origin-list ]
origin-list       = serialized-origin *( 1*WSP serialized-origin )
serialized-origin = scheme "://" host [ ":" port ]
                  ; <scheme>, <host>, <port> productions from RFC3986

由此，我认为不同的起源是被承认的，并且应该被空间分隔开。

如果你使用字体有困难，可以使用:

<FilesMatch "\.(ttf|ttc|otf|eot|woff)$">
    <IfModule mod_headers>
        Header set Access-Control-Allow-Origin "*"
    </IfModule>
</FilesMatch>

听起来，推荐的方法是让服务器从客户端读取Origin头，将其与您希望允许的域列表进行比较，如果匹配，则将Origin头的值作为响应中的Access-Control-Allow-Origin头回显给客户端。

使用.htaccess，你可以这样做:

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

对于安装了URL重写2.0模块的iis7.5 +，请参阅此SO答案