クロスドメインAJAXプリフライト失敗起源チェック

Question

これは動作していないよう：

$.ajax({ 
    url:  "http://localhost:3000/foo.json", 
    data:  { foo: 'bar' }, 
    headers: { 'HTTP_X_CUSTOMHEADER': 'foobar' }, 
    xhrFields: { withCredentials: true } 
}); 

私はjsfiddle上でそれを実行すると、OPTIONS要求（クロームデバッグツールに応じては）それは次のようになり、オフに起動します： （クロームデバッグツールに応じて）、その後

Access-Control-Request-Headers: Origin, HTTP_X_CUSTOMHEADER, Accept 
Access-Control-Request-Method: GET 
Origin:       http://fiddle.jshell.net 

そして、私のローカルサーバーは、以下のヘッダを返します。

（手動READAために再フォーマットビリティ）

Access-Control-Allow-Credentials: true 
Access-Control-Allow-Headers:  HTTP_X_CUSTOMHEADER 
Access-Control-Allow-Methods:  GET, POST, PUT, DELETE, OPTIONS 
Access-Control-Allow-Origin:  http://fiddle.jshell.net 
Access-Control-Max-Age:   10 

Cache-Control:     no-cache 
Connection:      Keep-Alive 
Content-Length:     1 
Content-Type:      text/html; charset=utf-8 
Date:        Wed, 14 Sep 2011 22:42:28 GMT 
Server:       WEBrick/1.3.1 (Ruby/1.8.7/2010-01-10) 
X-Runtime:      2 

し、コンソールに私はこのようなエラーメッセージが出ます：

XMLHttpRequest cannot load http://localhost:3000/foo.json?foo=bar. 
Origin http://fiddle.jshell.net is not allowed by Access-Control-Allow-Origin. 

をしかしAccess-Control-Allow-Originヘッダは私のサーバーは、プリフライトリクエストに応答したときに同じ表示されます。だから私はこのパズルのどの部分をここで逃していますか？

Answer 1

OHHHHH、[OK]を私はこれを考え出したが、最後に...

はどうやらプリフライトOPTIONSレスポンスヘッダには、それらを必要とする唯一の場所をアレント。実際のコンテンツのレスポンスにもこれらのヘッダーを含める必要があります。私は唯一の「チケット」が必要だと思って、これらのヘッダーがプリフライトで降りてきただけです。

実際の資産のGETリクエストに同じヘッダーを追加しました。私はドキュメントでそれを逃したと思う。

Answer 2

Originは単純なヘッダーと見なされないため、Access Control-Allow-HeadersセクションにOriginを含める必要があります（IMO、仕様には単純ヘッダーのリストにOriginが含まれている必要があります）。