Microsoft Edge vs EnableCors (WebAPI 2)

Question

Ich arbeite an einem WebAPI-Projekt (mein erstes) und verwende EnableCors, um zu begrenzen, wo meine api-Anrufe herkommen können. Nur zum Testen habe ich "http://localhost" nicht als zulässige URL angegeben.

In Chrome bekomme ich eine Fehlermeldung, dass localhost nicht erlaubt ist (das erwartete Ergebnis) und Microsoft Edge funktioniert normal (kein Fehler, unerwartetes Ergebnis). Ist dies ein "undokumentiertes Feature" von Edge? Oder mache ich etwas falsch, dass es nicht mit Edge funktioniert?

Danke!

Answer 1

Dies ist das erwartete Verhalten für Microsoft Edge und Microsoft Internet Explorer: Sie enthalten die Portnummer bei der Auswertung der gleichen Ursprungsrichtlinie nicht, also http://localhost:8080 und (z. B.) http://localhost:8081 sind der gleiche Ursprung für sie.

Aus diesem Grund beschwert sich Edge nicht darüber, den Header Access-Control-Allow-Origin in der Antwort nicht zu finden (dafür ist es nicht einmal eine Anfrage quer durch den Ursprung).

Referenz:
Internet Explorer 11 does not add the Origin header on a CORS request?