Плохо, у меня был план с другой политикой (аутентификация с помощью ключевого ключа), которая также брала на себя ответственность или, по крайней мере, нарушала поток, тогда политика CORS (которая фильтрует предварительный запрос) не работала должным образом.