En CORS, se envía una solicitud de comprobación previa con el método OPTIONS para que el servidor pueda responder si es aceptable enviar la solicitud. En este ejemplo, solicitaremos permiso para estos parámetros:

• El encabezado Access-Control-Request-Method enviado en la solicitud de comprobación previa le dice al servidor que cuando se envíe la solicitud real, tendrá un método de solicitud POST.
• El encabezado Access-Control-Request-Headers le dice al servidor que cuando se envíe la solicitud real, tendrá los encabezados X-PINGOTHER y Content-Type.

El servidor ahora puede responder si acepta una solicitud en estas circunstancias. En este ejemplo, la respuesta del servidor dice que:

Access-Control-Allow-Origin El origin puede solicitar la URL bar.example/resources/post-here/ a través de lo siguiente: Access-Control-Allow-MethodsPOSTGET y OPTIONS están permitidos los métodos para la URL. (Este encabezado es similar al encabezado de respuesta Allow, pero se usa solo para CORS.) Access-Control-Allow-Headers Cualquier script que inspeccione la respuesta puede leer los valores de las cabeceras X-PINGOTHER y Content-TypeAccess-Control-Max-Age Los permisos anteriores pueden almacenarse en caché durante 86.400 segundos (1 día).