Сэрвіс адпраўляе OPTIONS preflight-запыт і GET-запыт з загалоўкам Origin: https://101ip.ru і аналізуе CORS-загалоўкі ў адказе сервера.
Access-Control-Allow-Origin — дамены, якім дазволены доступ (* — усім);Access-Control-Allow-Methods — дазволеныя HTTP-метады (GET, POST, PUT, DELETE…);Access-Control-Allow-Headers — дазволеныя загалоўкі запыту;Access-Control-Allow-Credentials — ці дазволены cookies і аўтарызацыя;Access-Control-Max-Age — час кэшавання preflight-адказу (секунды);Access-Control-Expose-Headers — загалоўкі, даступныя JS-коду на баку кліента.Значэнне Access-Control-Allow-Origin: * забараняе выкарыстанне Allow-Credentials: true. Браўзер заблакуе такі адказ. Для аўтэнтыфікаваных запытаў трэба ўказваць канкрэтную крыніцу.