Dans CORS, une requête de contrôle en amont est envoyée avec la méthode OPTIONS afin que le serveur puisse répondre s’il est acceptable d’envoyer la requête. Dans cet exemple, nous demanderons l’autorisation pour ces paramètres :

• L’en-tête Access-Control-Request-Method envoyé dans la demande de contrôle en amont indique au serveur que lorsque la demande réelle est envoyée, il aura une méthode de requête POST.
• L’en-tête Access-Control-Request-Headers indique au serveur que lorsque la demande réelle est envoyée, il aura les en-têtes X-PINGOTHER et Content-Type.

Le serveur peut maintenant répondre s’il accepte une demande dans ces circonstances. Dans cet exemple, la réponse du serveur indique que :

Access-Control-Allow-OriginL’ORIGINE est autorisée à demander l’URL bar.example/resources/post-here/ via ce qui suit: Access-Control-Allow-MethodsPOSTGET et OPTIONS sont des méthodes autorisées pour l’URL. (Cet en-tête est similaire à l’en-tête de réponse Allow, mais utilisé uniquement pour CORS.) Access-Control-Allow-HeadersTout script inspectant la réponse est autorisé à lire les valeurs des en-têtes X-PINGOTHER et Content-TypeAccess-Control-Max-AgeLes autorisations ci-dessus peuvent être mises en cache pendant 86 400 secondes (1 jour).