I CORS sendes en preflight-forespørsel medOPTIONS – metoden slik at serveren kan svare hvis det er akseptabelt å sende forespørselen. I dette eksemplet vil vi be om tillatelse for disse parameterne:

• Access-Control-Request-Method header sendt i preflight-forespørselen forteller serveren at når den faktiske forespørselen sendes, vil den ha enPOST forespørselsmetode.
• Access-Control-Request-Headers header forteller serveren at når den faktiske forespørselen er sendt, vil den ha X-PINGOTHER og Content-Type overskrifter.

serveren kan nå svare hvis den vil godta en forespørsel under disse omstendighetene. I dette eksemplet sier serverresponsen at:

Access-Control-Allow-Origin opprinnelse er tillatt å be OMbar.example/resources/post-here/ URL via FØLGENDE: Access-Control-Allow-MethodsPOSTGET ogOPTIONS er tillatte METODER for NETTADRESSEN. (Denne overskriften ligner på Allow responshodet, men brukes bare for CORS.) Access-Control-Allow-Headers ethvert skript som inspiserer svaret, kan lese verdiene tilX-PINGOTHER ogContent-Type – overskriftene. Access-Control-Max-Age tillatelsene ovenfor kan bufres i 86 400 sekunder (1 dag).