in CORS wordt een preflight-aanvraag verzonden met de methode OPTIONS, zodat de server kan reageren als het aanvaardbaar is om de aanvraag te verzenden. In dit voorbeeld zullen we toestemming vragen voor deze parameters:

• De Access-Control-Request-Method header verzonden in de preflight-aanvraag vertelt de server dat wanneer de werkelijke aanvraag wordt verzonden, het een POST aanvraagmethode zal hebben.
• de Access-Control-Request-Headers header vertelt de server dat wanneer het eigenlijke verzoek wordt verzonden, deze de X-PINGOTHER en Content-Type headers zal hebben.

De server kan nu reageren als het een verzoek onder deze omstandigheden accepteert. In dit voorbeeld zegt het serverantwoord dat:

Access-Control-Allow-Origin de oorsprong is toegestaan om de bar.example/resources/post-here/ URL aan te vragen via de volgende URL:: Access-Control-Allow-MethodsPOSTGET, en OPTIONS zijn toegestane methoden voor de URL. (Deze header is vergelijkbaar met deAllow response header, maar wordt alleen gebruikt voor CORS.) Access-Control-Allow-Headers elk script dat het antwoord inspecteert, mag de waarden lezen van de X-PINGOTHER en Content-Type headers. Access-Control-Max-Age de bovenstaande machtigingen kunnen gedurende 86.400 seconden (1 dag) in de cache worden opgeslagen.