Всегда ли установка заголовка авторизации для междоменного запроса POST требует предварительной проверки?

Question

Недавно я с удивлением узнал, что когда я устанавливаю заголовок Authorization, мои POST запросы становятся предварительно просвеченными.Я всегда предполагал, что заголовок Authorization будет освобожден из-за его повсеместности.

Правда ли, что заголовок Authorization не является особенным по отношению к CORS, и, следовательно, всякий раз, когда вы устанавливаете Authorizationзаголовок, браузер должен предварительно проверять?

Answer 1

Да, это правда, что всякий раз, когда вы добавляете заголовок Authorization к запросу, он запускает предварительную проверку в браузерах. Это потому, что Authorization не определен как заголовок запроса CORS, включенный в список .

Список заголовков запросов CORS, внесенных в список рассылки, довольно короткий; это просто Accept, Accept-Language, Content-Language, Content-Type, DPR, Downlink, Save-Data, Viewport-Width, Width.

Любой заголовок, добавленный к запросу, которого нет в этом списке, заставит браузеры выполнить предварительную проверку.

См. https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#Preflighted_requests.