Когда я отправляю запрос POST CORS из браузера, браузер сначала отправляет на сервер запрос предварительной проверки OPTIONS.
Если мой POST содержит заголовок авторизации, включается ли этот заголовок в параметры запрос?
Нет. Запрос OPTIONS будет включать заголовок
access-control-request-headers: authorization
, чтобы указать, что клиентское программное обеспечение (запущенное в браузере) хочет отправить заголовок авторизации, но само значение заголовка не отправляется до запроса POST.