0
到目前为止,我已经尝试添加以下到我的web.config:如何防止ASP.NET应用程序中的OPTIONS请求?
<system.web>
<authorization>
<deny verbs="OPTIONS" users="*" />
</authorization>
<httpHandlers>
<remove verb="*" path="*.asmx" />
<add verb="OPTIONS" path="*" type="System.Web.DefaultHttpHandler" validate="true"/>
<add verb="*" path="*.asmx" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
<add verb="*" path="*_AppService.axd" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
<add verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" validate="false" />
</httpHandlers>
</system.web>
你可以看到,我已经加入到httpHandlers
节点的条目,但也有其他的已经有几个条目有那么它不是”那里唯一的东西。
当我提出以下要求卷曲:
curl -v -X OPTIONS https://mySite.com
我看到在输出以下内容:
< HTTP/1.1 200 OK
< Cache-Control: private, no-cache, no-store
< Allow: OPTIONS, TRACE, GET, HEAD, POST
为什么OPTIONS
请求仍然被允许?