V CORS je požadavek na předlet odeslán metodou OPTIONS, aby server mohl odpovědět, pokud je přijatelné odeslat požadavek. V tomto příkladu jsme bude žádat o povolení pro tyto parametry:

• Access-Control-Request-Method záhlaví poslal v preflight žádost informuje server, že když aktuální požadavek je odeslán, bude mít POST metoda požadavku.
• Access-Control-Request-Headers v hlavičce řekne serveru, že když aktuální požadavek je odeslán, bude mít X-PINGOTHERContent-Type záhlaví.

server nyní může odpovědět, pokud za těchto okolností přijme požadavek. V tomto příkladu, odpověď serveru říká, že:

Access-Control-Allow-Origin původ je povoleno na vyžádání bar.example/resources/post-here/ URL pomocí následujících: Access-Control-Allow-MethodsPOSTGETOPTIONS jsou přípustné metody pro URL. (Tato hlavička je podobná hlavičce odpovědi Allow, ale používá se pouze pro CORS.) Access-Control-Allow-Headers žádný skript, kontrola reakce je povoleno číst hodnoty X-PINGOTHERContent-Type záhlaví. Access-Control-Max-Age výše uvedená oprávnění mohou být uložena do mezipaměti po dobu 86 400 sekund (1 den).