Как разрешить CORS в публичном API?

Question

[sa1ch]

Всем привет.
Вопрос в следующем:

Делаю запрос с помощью axios, там передаю всего 2 заголовка, Authorization и Content-Type.

На сервере прописал следующее:

$response
    ->setHeader("Access-Control-Allow-Origin", "*")
    ->setHeader("Access-Control-Allow-Methods", "GET, POST, PUT")
    ->setHeader("Access-Control-Allow-Headers", "*")
    ->setHeader("Access-Control-Allow-Credentials", true)
    ->sendHeaders();

В ответ получаем ошибку: "No 'Access-Control-Allow-Origin' header is present on the requested resource."

Если из запроса убрать заголовок Authorization, то сервер нормально принимает запрос и отдает ответ.
Я пробовал домен прописывать в Access-Control-Allow-Origin, пробовал в Access-Control-Allow-Headers указывать нужные заголовки. Не могу понять в чем проблема?

Comments

[bqio]

Запрос делаете с localhost?

[sa1ch]

bqio, нет, с разных доменов и разных серверов. Но тестировал конкретно с одного домена. Его и указывал в Access-Control-Allow-Origin

[Lynn «Кофеман»]

Покажите запрос?
Там точно предварительный OPTION не улетает?

[sa1ch]

Lynn «Кофеман»,

axios.get('https://mysite.ru/api/1.0/test', {
            headers: {
                'Authorization': 'Bearer {key}',
                'Content-Type': 'application/json'
            }
        })
        .then(function (response) {
            console.log(response);
        })
        .catch(function (error) {
            console.log(error);
        });

На счет OPTION не знаю) Как проверить?
Сама странность что без Authorization все ок.

[Lynn «Кофеман»]

sa1ch, посмотреть в web developer console на вкладке network

[sa1ch]

Lynn «Кофеман»,
Тупанул)
Вот скрин:

[sa1ch]

Lynn «Кофеман», наконец то обнаружил, улетает OPTIONS предварительный если передавать Authorization. Только мне это ни чего не дает, не могу понять как избавиться от него.

[Lynn «Кофеман»]

sa1ch, никак не избавиться. Нужно его правильно обрабатывать на сервере.