在预检请求期间,您应该看到以下两个标题:Access-Control-Request-Method和Access-Control-Request- Headers。这些请求标头向服务器询问发出实际请求的权限。飞行前响应需要确认这些标头,才能使实际请求正常工作。
例如,假设浏览器使用以下标头发出请求:
Origin: http://yourdomain.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-Custom-Header
然后,您的服务器应使用以下标头进行响应:
Access-Control-Allow-Origin: http://yourdomain.com
Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: X-Custom-Header
要特别注意Access-Control-Allow-Headers响应标头。此标头的值应与Access-Control-Request- Headers请求标头中的标头相同,并且不能为“ *”。