generated at
Preflight Request
CORSで、Simple Requestでない場合に事前に送るRequestのこと


OPTIONSmethodで送る

以下のようなheaderを付ける
Origin Header
Access-Control-Reuqest-Methods
Access-Control-Request-Headers

http://S.com/hoge にreqを送っている
req
OPTIONS /hoge HTTP/1.1 Host: S.com Origin: http://X.com Access-Control-Request-Metho: POST Access-Control-Request-Headers: My-Custom-Header
自分(client)が X.com
送っている相手が、 S.com
CORSで許可されていないPOSTやMy-Custom-Headerの使用を許可してもらうためのrequestを送っている
これへの返却例
これは S.com のresponse
res
HTTP/1.1 200 OK Access-Control-Allow-Origin: http://X.com Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: My-Custom-Header


headerの対応
対応
Preflight Requestのheaderresponse header
Origin HeaderAccess-Control-Allow-Origin
Access-Control-Reuqest-MethodAccess-Control-Allow-Method
Access-Control-Request-HeadersAccess-Control-Allow-Headers


無理だった場合、405 Method Not Allowedが返ってくる


Preflight Requestはなぜ必要なのか?


参考
『Webブラウザセキュリティ』 p.39 ~