Bunu <system.webServer> altına ekleyerek dener misin?
    <cors enable="true" failUnlistedOrigins="true">
        <add Origin="*" />
    </cors>