我想启用跨域访问,但只能从https://example.com开始。但是,我也想拒绝所有不来自该域的直接访问。
使用以下代码,我可以允许来自该域的CORS,但是我仍然能够在浏览器中导航至API URL并获得Secret code响应。
[EnableCors(origins: "https://example.com", headers: "*", methods: "*")]
public class ValuesController : ApiController
{
// GET: api/Values
public string Get()
{
return "Secret code";
}
}