w CORS, żądanie preflight jest wysyłane z OPTIONS metoda tak, że serwer może odpowiedzieć, jeśli jest to dopuszczalne do wysłania żądania. W tym przykładzie poprosimy o pozwolenie na te parametry:

• nagłówek Access-Control-Request-Method wysłany w żądaniu inspekcji wstępnej informuje serwer, że gdy rzeczywiste żądanie zostanie wysłane, będzie miało POST metoda żądania.
• nagłówekAccess-Control-Request-Headers informuje serwer, że gdy rzeczywiste żądanie zostanie wysłane, będzie miał nagłówkiX-PINGOTHER IContent-Type.

serwer może teraz odpowiedzieć, jeśli przyjmie żądanie w tych okolicznościach. W tym przykładzie odpowiedź serwera mówi, że:

Access-Control-Allow-Origin origin może żądaćbar.example/resources/post-here/ URL za pomocą następującego: Access-Control-Allow-MethodsPOSTGET IOPTIONS są dozwolonymi metodami URL. (Ten nagłówek jest podobny do nagłówka odpowiedziAllow, ale używany tylko dla CORS.)Access-Control-Allow-Headers każdy skrypt sprawdzający odpowiedź może odczytać wartości nagłówkówX-PINGOTHER IContent-TypeAccess-Control-Max-Age powyższe uprawnienia mogą być buforowane przez 86,400 sekund (1 dzień).