отличии от “простых запросов” (обсуждено выше), "предварительные" запросы сначала отправляют HTTP-запрос методом OPTIONS к ресурсу на другом домене, чтобы определить, является ли фактический запрос безопасным для отправки. Кросс-сайтовые запросы предварительно просматриваются таким образом, так как они могут быть причастны к пользовательским данным.
В частности, запрос предварительно просматривается, если выполняется любое из следующих условий:
Или если, кроме заголовков, автоматически устанавливаемых пользовательским агентом (например, Connection, User-Agent, или любым другим заголовком с именем, определенным в спецификации Fetch как "имя запрещенного заголовка"), запрос включает любые заголовки, отличные от тех, которые спецификация Fetch определяет как "заголовок запроса CORS-безопасный заголовок запроса", а именно:
Accept
Accept-Language
Content-Language
Content-Type (но учтите дополнительные требования ниже)
Last-Event-ID
DPR
Save-Data
Viewport-Width
Width
там все по-алфавитуне верится, приведите то самое место.
