In CORS wird eine Preflight-Anforderung mit der OPTIONS -Methode gesendet, damit der Server antworten kann, wenn das Senden der Anforderung zulässig ist. In diesem Beispiel fordern wir die Berechtigung für diese Parameter an:

• Der Access-Control-Request-Method Header, der in der Preflight-Anforderung gesendet wird, teilt dem Server mit, dass die tatsächliche Anforderung beim Senden eine POST Anforderungsmethode hat.
• Der Access-Control-Request-Headers Header teilt dem Server mit, dass er beim Senden der tatsächlichen Anforderung die X-PINGOTHER und Content-Type Header hat.

Der Server kann nun antworten, wenn er unter diesen Umständen eine Anfrage annimmt. In diesem Beispiel heißt es in der Serverantwort:

Access-Control-Allow-Origin Der origin darf die bar.example/resources/post-here/ URL über Folgendes anfordern: Access-Control-Allow-MethodsPOSTGET und OPTIONS sind zulässige Methoden für die URL. (Dieser Header ähnelt dem Allow Antwortheader, wird jedoch nur für CORS verwendet.) Access-Control-Allow-Headers Jedes Skript, das die Antwort überprüft, darf die Werte der Header X-PINGOTHER und Content-Type lesen. Access-Control-Max-Age Die oben genannten Berechtigungen können für 86.400 Sekunden (1 Tag) zwischengespeichert werden.