In CORS, viene inviata una richiesta di verifica preliminare con il metodoOPTIONS in modo che il server possa rispondere se è accettabile inviare la richiesta. In questo esempio, richiederemo l’autorizzazione per questi parametri:

• L’intestazione Access-Control-Request-Methodinviata nella richiesta di preflight indica al server che quando viene inviata la richiesta effettiva, avrà un POST metodo di richiesta.
• L’intestazioneAccess-Control-Request-Headersdice al server che quando viene inviata la richiesta effettiva, avrà le intestazioniX-PINGOTHEReContent-Type.

Il server ora può rispondere se accetterà una richiesta in queste circostanze. In questo esempio, la risposta del server dice che:

Access-Control-Allow-OriginL’origine può richiedere l’URL bar.example/resources/post-here/ tramite il seguente: Access-Control-Allow-MethodsPOSTGET e OPTIONS sono metodi consentiti per l’URL. (Questa intestazione è simile all’intestazione di rispostaAllow, ma utilizzata solo per CORS.)Access-Control-Allow-Headers Qualsiasi script che ispeziona la risposta è autorizzato a leggere i valori delle intestazioniX-PINGOTHER eContent-TypeAccess-Control-Max-Age Le autorizzazioni di cui sopra possono essere memorizzate nella cache per 86.400 secondi (1 giorno).