Сервис отправляет OPTIONS preflight-запрос и GET-запрос с заголовком Origin: https://101ip.ru и анализирует CORS-заголовки в ответе сервера.
Access-Control-Allow-Origin — домены, которым разрешён доступ (* — все);Access-Control-Allow-Methods — разрешённые HTTP-методы (GET, POST, PUT, DELETE…);Access-Control-Allow-Headers — разрешённые заголовки запроса;Access-Control-Allow-Credentials — разрешена ли передача куки и авторизации;Access-Control-Max-Age — время кеширования preflight-ответа (секунды);Access-Control-Expose-Headers — заголовки, доступные JS-коду на стороне клиента.Значение Access-Control-Allow-Origin: * запрещает использование Allow-Credentials: true. Браузер заблокирует такой ответ. Для авторизованных запросов необходимо указывать конкретный домен.