飞行前CORS请求是否耗时？

我有一个Spring Boot/Spring Data REST服务，允许访问许多资源。其中一些资源（例如)可以自由访问，其他资源（例如)需要基本的HTTP身份验证。通过使用CURL测试REST服务，所有工作都按预期进行。当我试图从Angular2 web应用程序访问服务时，问题就会出现。

跨源资源共享是一种允许web页面对另一个域（从wikipedia）进行XMLHttpRequest的机制。 最近几天我一直在摆弄CORS，我想我已经很好地理解了一切的工作原理。 所以我的问题不是关于CORS/preflight是如何工作的，而是关于将preflight作为一种新的请求类型背后的原因。我看不出为什么服务器A需要向服务器B发送一个预置(PR)来了解真实的请求(RR)是否会被接受-B当然

在调试我遇到的CORS问题时，我发现了以下行为。Chrome发出以下选项预检请求（由Chrome本身在CURL中重写）： 以下情况下服务器对此请求的响应： 是响应“无效CORS请求”的主体。如果我重复该请求，删除标头“Access Control request Method”（仅该标头），则OPTIONS请求将成功，并得到以下响应： 然而，有问题的头是CORS规范标准头，所以它不应该阻止请求成功

我不清楚CORS头（Access-Control-Allow-Origin等）是否应该只出现在飞行前请求（OPTIONS方法）中，还是也出现在资源的头中（我试图使用XHR发布）

问题内容： 我现在奋斗了几个小时。我想向另一个域发出简单的Ajax请求，但始终出现http 401错误： 我在服务器端设置了所有相关的CORS标头。这是网络流量： 我知道有很多关于此主题的文章，但似乎我缺少一些简单的东西。有人可以帮我吗？ 问题答案： 更新 看起来我不对。标头从不发送请求。 -你需要确保你的服务器不响应到请求。 我不知道您的服务器用什么语言编写，但是您以错误的方式实现了授权-应该从

我有一个配置为使用WINDOWS AUTHENTICATION的webapi。 在我的angular应用程序中，我有以下方法： 让方法完美地工作。 POST方法给了我以下错误： 最后介绍了webapi方法 还有我们几个小时来一直在努力的那个该死的错误： 无法加载XMLHttpRequesthttp://a.b.com/api/Contactos.对飞行前请求的响应未通过访问控制检查：请求的资源上不