不能，但可以使用JSONP避免CORS。

对于一个理解它存在的原因，但需要访问一个没有认证就不能处理OPTIONS调用的API的开发人员，我需要一个临时的答案，这样我就可以在本地开发，直到API所有者添加适当的SPA CORS支持或我获得一个代理API并运行。

我发现你可以在Mac电脑的Safari和Chrome浏览器中禁用CORS。

在Chrome中禁用同源策略

Chrome:退出Chrome，打开终端并粘贴如下命令:open /Applications/谷歌\ Chrome。App——args——disable-web-security——user-data-dir

Safari:禁用Safari中的同源策略

如果你想在Safari上禁用同源策略(我有9.1.1)，那么你只需要启用开发人员菜单，并从开发菜单中选择“禁用跨源限制”。

你也可以使用API管理器(如开源的Gravitee.io)通过在preflight中操作头来防止前端应用程序和后端服务之间的CORS问题。

用于响应preflight请求的报头，以指示在发出实际请求时可以使用哪些HTTP报头:

内容类型 access-control-allow-header 授权 x-requested-with

并指定"allow-origin" = localhost:4200

OPTIONS请求是web浏览器的一个特性，所以要禁用它并不容易。但我找到了用代理转移的方法。如果服务端点还不能处理CORS/OPTIONS，可能还在开发中，或者配置错误，那么它就很有用。

步骤:

使用工具(nginx, YARP，…)为这些请求设置反向代理。 创建一个端点来处理OPTIONS请求。创建一个普通的空端点可能更容易，并确保它能很好地处理CORS。 为代理配置两组规则。一种是将所有OPTIONS请求路由到上面的虚拟端点。另一个是将所有其他请求路由到实际的问题端点。 更新网站以使用代理代替。

基本上这种方法是欺骗浏览器，选项请求工作。考虑到CORS并不是为了加强安全，而是为了放松同源政策，我希望这招能管用一段时间。：）

我已经解决了这个问题。

if($_SERVER['REQUEST_METHOD'] == 'OPTIONS' && ENV == 'devel') {
    header('Access-Control-Allow-Origin: *');
    header('Access-Control-Allow-Headers: X-Requested-With');
    header("HTTP/1.1 200 OK");
    die();
}

这只是为了发展。这样我就可以等待9毫秒和500毫秒，而不是8秒和500毫秒。我可以这样做，因为生产JS应用程序将在同一台机器上生产，所以没有选项，但开发是我的本地。

在花了一整天半的时间试图解决类似的问题后，我发现这与IIS有关。

我的Web API项目是这样建立的:

// WebApiConfig.cs
public static void Register(HttpConfiguration config)
{
    var cors = new EnableCorsAttribute("*", "*", "*");
    config.EnableCors(cors);
    //...
}

我在网上没有CORS特定的配置选项。配置>系统。webServer节点，就像我在很多帖子中看到的那样

全局中没有特定于CORS的代码。Asax或在控制器中作为装饰器

问题在于应用程序池设置。

托管管道模式被设置为经典(更改为集成)，标识被设置为网络服务(更改为ApplicationPoolIdentity)

更改这些设置(并刷新应用程序池)为我解决了这个问题。