在使用代理拦截请求并写入适当的标头的情况下，可以解决这个问题。 在Varnish的特殊情况下，这些将是规则:

if (req.http.host == "CUSTOM_URL" ) {
set resp.http.Access-Control-Allow-Origin = "*";
if (req.method == "OPTIONS") {
   set resp.http.Access-Control-Max-Age = "1728000";
   set resp.http.Access-Control-Allow-Methods = "GET, POST, PUT, DELETE, PATCH, OPTIONS";
   set resp.http.Access-Control-Allow-Headers = "Authorization,Content-Type,Accept,Origin,User-Agent,DNT,Cache-Control,X-Mx-ReqToken,Keep-Alive,X-Requested-With,If-Modified-Since";
   set resp.http.Content-Length = "0";
   set resp.http.Content-Type = "text/plain charset=UTF-8";
   set resp.status = 204;
}

}

在之前的文章中已经提到过，OPTIONS请求的存在是有原因的。如果您的服务器响应时间过长(例如海外连接)，您也可以让浏览器缓存飞行前请求。

让你的服务器用Access-Control-Max-Age报头来回复，对于到达同一端点的请求，preflight请求将被缓存，不再发生。

关于飞行前OPTIONS请求的实际需求，请参考以下答案:CORS -引入飞行前请求的动机是什么?

要禁用OPTIONS请求，ajax请求必须满足以下条件:

请求不设置自定义HTTP报头，如'application/xml'或'application/json'等 请求方法必须是GET、HEAD或POST中的一个。如果是POST，内容类型应该是application/x-www-form-urlencoded、multipart/form-data或text/plain

参考: https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

我以前用过的一个解决方案——假设你的网站在mydomain.com上，你需要向foreigndomain.com发送一个ajax请求

配置IIS重写从您的域到外部域-例如。

<rewrite>
  <rules>
    <rule name="ForeignRewrite" stopProcessing="true">
        <match url="^api/v1/(.*)$" />
        <action type="Rewrite" url="https://foreigndomain.com/{R:1}" />
    </rule>
  </rules>
</rewrite>

在你的mydomain.com网站上-你可以进行同源请求，不需要任何选项请求:)

是的，有可能避免期权请求。选项请求是一个飞行前请求，当你发送(post)任何数据到另一个域。这是浏览器安全问题。但是我们可以使用另一种技术:iframe传输层。我强烈建议您忘记任何CORS配置，并使用现成的解决方案，它将在任何地方工作。

看看这里: https://github.com/jpillora/xdomain

工作示例: http://jpillora.com/xdomain/

在花了一整天半的时间试图解决类似的问题后，我发现这与IIS有关。

我的Web API项目是这样建立的:

// WebApiConfig.cs
public static void Register(HttpConfiguration config)
{
    var cors = new EnableCorsAttribute("*", "*", "*");
    config.EnableCors(cors);
    //...
}

我在网上没有CORS特定的配置选项。配置>系统。webServer节点，就像我在很多帖子中看到的那样

全局中没有特定于CORS的代码。Asax或在控制器中作为装饰器

问题在于应用程序池设置。

托管管道模式被设置为经典(更改为集成)，标识被设置为网络服务(更改为ApplicationPoolIdentity)

更改这些设置(并刷新应用程序池)为我解决了这个问题。