为什么IIS CORS模块“访问控制允许源代码”似乎被缓存?

我们正在尝试从JavaScript访问跨源图像文件:

var testImage = var Image;
testImage.crossOrigin = 'anonymous';
testImage.src = 'https://cdn.example.com/testImage.png';

在浏览器中(Chrome,但我们可以在其他浏览器上看到这种行为,也可以通过curl直接看到),显示来自三个不同域的相同网页内容。映像服务器正在运行IIS,并且安装了CORS模块,配置如下:

<cors enable="true" failUnlistedOrigins="true">
    <add origin="https://www.first_domain.com" allowed="true">
        <allowHeaders allowAllRequestedHeaders="true" />
    </add>
    <add origin="https://www.second_domain.com" allowed="true">
        <allowHeaders allowAllRequestedHeaders="true" />
    </add>
    <add origin="https://www.third_domain.com" allowed="true">
        <allowHeaders allowAllRequestedHeaders="true" />
    </add>
</cors>

访问是被阻止还是被授予取决于访问的时间和顺序。例如,如果我们从 https://www.first_domain.com ,访问控制允许源标题值将为' https://www.first_domain.com '并授予访问权限,但随后尝试从其他两个允许的来源中的任何一个访问图像也会导致访问控制允许来源标题值返回为' https://www.first_domain.com “因此,访问将 不 我同意。

如果我们等待四分钟或更长时间,然后尝试从 https://www.second_domain.com ,则Access Control Allow Origin标头值将返回为' https://www.second_domain.com “并将被允许访问。但是,尝试从 https://www.first_domain.com 之后还将导致Access Control Allow Origin标头值返回为' https://www.second_domain.com “访问将被阻止。

再等四分钟 https://www.third_domain.com (到目前为止一直被屏蔽)将被授予访问权限和 https://www.first_domain.com 和 https://www.second_domain.com 两者都将被阻止。这就好像首次有人访问图像服务器时,Access Control Allow Origin头的值在图像服务器上被单独缓存了四分钟,之后,所有请求访问的域都会返回相同的值,直到缓存过期。