i CORS sendes en anmodning om forhåndskontrol med OPTIONS – metoden, så serveren kan svare, hvis det er acceptabelt at sende anmodningen. I dette eksempel vil vi anmode om tilladelse til disse parametre:

• Access-Control-Request-Method header sendt i preflight-anmodningen fortæller serveren, at når den faktiske anmodning sendes, vil den have enPOST anmodningsmetode.
• Access-Control-Request-Headers header fortæller serveren, at når den faktiske anmodning sendes, vil den haveX-PINGOTHER ogContent-Type overskrifter.

serveren kan nu svare, hvis den accepterer en anmodning under disse omstændigheder. I dette eksempel siger serverresponset, at:

Access-Control-Allow-Origin oprindelse er tilladt at anmode ombar.example/resources/post-here/ URL via følgende: Access-Control-Allow-MethodsPOSTGET og OPTIONS er tilladte metoder til URL ‘ en. (Denne overskrift ligner Allow responshovedet, men bruges kun til CORS.) Access-Control-Allow-Headers ethvert script, der inspicerer svaret, er tilladt at læse værdierne for X-PINGOTHER og Content-Type overskrifter. Access-Control-Max-Age ovenstående tilladelser kan cachelagres i 86.400 sekunder (1 dag).