首先确认你已经安装了必要的NuGet包（这是非Core版本Web API启用CORS的基础依赖）：

Install-Package Microsoft.AspNet.WebApi.Cors

针对你已经在WebApiConfig全局启用CORS，但想在控制器级别自定义规则的场景，这里有几种实用的配置方式：

1. 为整个控制器配置自定义CORS规则 #

使用[EnableCors]特性标记控制器，你可以精准指定允许的来源、HTTP方法和请求头：

using System.Web.Http;
using System.Web.Http.Cors;

// 允许来自指定域名的GET、POST、PUT请求，允许所有请求头
[EnableCors(origins: "https://your-frontend-domain.com", headers: "*", methods: "GET,POST,PUT")]
public class UserController : ApiController
{
    // GET api/user
    public IHttpActionResult Get()
    {
        return Ok("User list data");
    }

    // POST api/user
    public IHttpActionResult Post([FromBody]User model)
    {
        // 处理用户创建逻辑
        return CreatedAtRoute("DefaultApi", new { id = model.Id }, model);
    }
}

如果是开发环境需要快速测试，也可以允许所有来源、方法和头（注意生产环境不建议这么做）：

[EnableCors(origins: "*", headers: "*", methods: "*")]
public class TestController : ApiController
{
    // 控制器方法逻辑...
}

2. 禁用特定控制器的CORS（覆盖全局配置） #

如果全局已经开了CORS，但某个敏感控制器需要禁止跨域请求，只需添加[DisableCors]特性：

using System.Web.Http;
using System.Web.Http.Cors;

[DisableCors]
public class AdminController : ApiController
{
    // 这个控制器的所有接口都不会响应跨域请求，不受全局配置影响
    public IHttpActionResult GetAdminDashboardData()
    {
        return Ok("Admin-only confidential data");
    }
}

3. 为单个Action方法单独配置CORS #

除了控制器级别，你还可以给单个Action设置独立的CORS规则，优先级高于控制器级配置：

public class ProductController : ApiController
{
    // 该Action允许所有跨域请求
    [EnableCors(origins: "*", headers: "*", methods: "*")]
    public IHttpActionResult GetPublicProduct(int id)
    {
        return Ok(new Product { Id = id, Name = "Public Access Product" });
    }

    // 该Action禁用CORS，仅允许同域访问
    [DisableCors]
    public IHttpActionResult GetPrivateProduct(int id)
    {
        return Ok(new Product { Id = id, Name = "Internal Only Product" });
    }
}

重要提示：控制器/Action级别的CORS特性会直接覆盖全局配置，你可以根据业务需求灵活为不同接口设置差异化的跨域规则。

内容的提问来源于stack exchange，提问作者VENKATA SATYA NAVEEN NAGULAPAL