当在ASP.NET应用程序中使用身份验证时，使用CORS策略时可能会出现问题。这是由于ASP.NET身份验证发出的响应未包含CORS响应标头。

解决方法是在服务端启用CORS，并在响应中包含合适的CORS响应标头。

首先，在Web API配置中启用CORS。使用Microsoft.AspNet.WebApi.Cors软件包可以很容易地实现它。

接下来，为了保证ASP.NET身份验证正确地发送CORS响应标头，需要在Startup.Auth.cs文件中注册特殊的应用程序类型。

示例代码：

public partial class Startup { public void ConfigureAuth(IAppBuilder app) { // Enable CORS app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);

    app.CreatePerOwinContext(ApplicationUserManager.Create);

    app.UseCookieAuthentication(new CookieAuthenticationOptions
    {
        AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
        LoginPath = new PathString("/Account/Login"),
        Provider = new CookieAuthenticationProvider
        {
            OnValidateIdentity = SecurityStampValidator.OnValidateIdentity(
                validateInterval: TimeSpan.FromMinutes(30),
                regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
        },
        CookieName = "MyAppName",
        CookieHttpOnly = false,
        ExpireTimeSpan = TimeSpan.FromHours(1),
        PersistentSessionLifetime = TimeSpan.FromDays(10)
    });
}

}

最后，确保在发出响应时包含CORS响应标头。下面是一个示例控制器：

[EnableCors(origins: "http://myapp.com", headers: "", methods: "", SupportsCredentials = true)] public class MyController : ApiController { [HttpGet] [AllowAnonymous] public IHttpActionResult MyAction() { return Ok("Hello World!"); } }