CORS标头仅在飞行前或每次请求时出现

在调试我遇到的CORS问题时，我发现了以下行为。Chrome发出以下选项预检请求（由Chrome本身在CURL中重写）： 以下情况下服务器对此请求的响应： 是响应“无效CORS请求”的主体。如果我重复该请求，删除标头“Access Control request Method”（仅该标头），则OPTIONS请求将成功，并得到以下响应： 然而，有问题的头是CORS规范标准头，所以它不应该阻止请求成功

我使用AJAX请求通过POST将数据发送到另一个域。因为我的内容类型不是标准的（它是JSON格式），所以需要一个飞行前请求。（使用请求方法：选项） 如维基百科跨域XHR调用图表中所述 我想知道这是否很费时，因为浏览器将必须到达服务器两次或不？也许这取决于每个浏览器的行为？ 通过使用内容类型“纯文本”来避免飞行前请求，我是否获得了一些时间？

我让这个项目在Angular 8中运行，并使用飞行前和实际的api调用api。而且我们在它的网络安全上有一个问题，因为飞行前的选项没有标题严格的传输安全性：max age=31536000；includeSubDomains，而实际的GET api有一个。 您是否知道如何以及在哪里添加严格运输安全：max-age=31536000；包括预飞行和实际请求下的子域，以便两个请求将具有相同的标头？

所以这里的是一个类似JWT的标记。 在我的Angular代码中，我只需将令牌添加为，如下所示： 请注意，我的身份验证/注册路由工作正常，我只是在将标头传输到Spring服务器时遇到了困难。 谢谢，

问题内容： AJAX请求工作正常，但是当我通过beforeSend或标头添加标头时，会发出OPTIONS预检请求，而GET请求将中止。 指定了类似的没有 头的AJAX请求（在我添加/修改头的那一刻，进行了OPTIONS调用） 相似的服务器响应头（用于GET请求） 我做错了什么？ 问题答案： 解决了。感谢@JasonP的指针。改变服务器 响应头 从 访问控制允许标题：* 到特定的 访问控制允许标题：

我有一个Spring Boot/Spring Data REST服务，允许访问许多资源。其中一些资源（例如)可以自由访问，其他资源（例如)需要基本的HTTP身份验证。通过使用CURL测试REST服务，所有工作都按预期进行。当我试图从Angular2 web应用程序访问服务时，问题就会出现。