CORS Google Cloud-Axios选项中的授权头

CORS策略阻止从来源'https:// '访问位于'https:// '的XMLHttpRequest：对飞行前请求的响应未通过访问控制检查：请求的资源上没有'access-control-allog-origin'标头。

1. 如果我从本地前端（也是浏览器）访问本地后端，它会工作：上面的错误不会显示在浏览器控制台中，我会获得数据）。
2. 如果我做了这些选项或接到邮递员的电话到Google Cloud后端，它就有效了。

我注意到，对于Postman，我需要在OPTIONS请求中包含Authorization标头，以便将承载令牌发送到Google以使其工作。浏览器不会在选项调用中发送任何Authorization标头，即使我将With Credentials:true添加到Axios配置中，如下所示：

const response = await axios({
      method: 'post',
      withCredentials: true,
      url: 'https://<backend>',
      headers: {
        'Authorization': 'Bearer ' + gCloudToken
      },
      data: {
        // data...
      }
    });

1. 发送标头中的令牌不是一个安全问题吗？我的意思是，每个人都可以看到头部，然后伪造对服务器的调用。
2. 有人能说明如何通过Axios在选项调用中发送授权标头或告诉如何正确处理此问题吗？

更新1：

来自浏览器的请求如下所示：

OPTIONS /path/to/api HTTP/2
Host: <backend>-ew.a.run.app
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Access-Control-Request-Method: POST
Access-Control-Request-Headers: authorization,content-type
Referer: https://frontend.web.app/
Origin: https://frontend.web.app
Connection: keep-alive

HTTP/2 403 Forbidden
date: Tue, 07 Jul 2020 23:57:27 GMT
content-type: text/html; charset=UTF-8
server: Google Frontend
content-length: 320
alt-svc: h3-29=":443"; ma=2592000,h3-27=":443"; ma=2592000,h3-25=":443"; ma=2592000,h3-T050=":443"; ma=2592000,h3-Q050=":443"; ma=2592000,h3-Q046=":443"; ma=2592000,h3-Q043=":443"; ma=2592000,quic=":443"; ma=2592000; v="46,43"
X-Firefox-Spdy: h2

如您所见，没有CORS头（例如access-control-allog-origin)。