CORSするためには

Sが、Preflight Requestに対応するようにしておく

ブラウザは、実際のrequestの前にPreflight Requestを送信する

3つのheaderを含む

これに対してserverは応答する

対応する3つのheaderを含む

そのheader内に、X.comを許可する旨を記す必要がある

うまくいった場合、その後、目的のrequestが送られる

上図の緑丸

つまり、Simple Requestでない場合、1往復分のやりとりが増える

『Webブラウザセキュリティ』 p.39~

具体例など