如何防止ASP.NET应用程序中的OPTIONS请求？

Question

到目前为止，我已经尝试添加以下到我的web.config：

<system.web> 
    <authorization> 
     <deny verbs="OPTIONS" users="*" /> 
    </authorization> 
    <httpHandlers> 
     <remove verb="*" path="*.asmx" /> 
     <add verb="OPTIONS" path="*" type="System.Web.DefaultHttpHandler" validate="true"/> 
     <add verb="*" path="*.asmx" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" /> 
     <add verb="*" path="*_AppService.axd" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" /> 
     <add verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" validate="false" /> 
    </httpHandlers> 
</system.web> 

你可以看到，我已经加入到httpHandlers节点的条目，但也有其他的已经有几个条目有那么它不是”那里唯一的东西。

即使这两个项目的

当我提出以下要求卷曲：

curl -v -X OPTIONS https://mySite.com 

我看到在输出以下内容：

< HTTP/1.1 200 OK 
< Cache-Control: private, no-cache, no-store 
< Allow: OPTIONS, TRACE, GET, HEAD, POST 

为什么OPTIONS请求仍然被允许？

Answer 1

在<authorization>中，您只能使用映射到ASP.NET的动词进行游戏。

verbs: A comma-separated list of HTTP transmission methods that are denied access to the resource. Verbs registered to ASP.NET are GET, HEAD, POST, and DEBUG. 

你可以尝试<verbs>元素