Антон Антон

Этот файл по сути повторяет выдачу заголовков cors, для разрешения только поддоменов нужно в allowed origins перечислить разрешенные origin или в allowed origins patterns регэкспы, по которым будет проверяться разрешение кроссдоменного вызова

https://developer.mozilla.org/ru/docs/Web/HTTP/CORS

Допустимыми значениями заголовка Content-Type являются:
application/x-www-form-urlencoded
multipart/form-data
text/plain

Там же и про настройку всё.

нужно, чтобы при запросе options по адресу example/goods.php возвращался ответ с нужными заголовками. Подробнее в https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
можно возвращать нужные заголовки скриптом, можно настройками веб-сервера

CORS, там на странице есть картинка. Это делает браузер совершенно самостоятельно, ни nuxt, ни axios не причем.

Но если я на прямую использую axios, то все правильно работает:

import axios from 'axios'
axios.get('http://some-url')

Этот доп. запрос идет только для post запросов, get без него работают.

Для CORS и origin * - только get запросы через jsonp.
Для простого AJAX (если хочется использовать POST и прочее) надо прописывать конкретный origin, либо по списку, либо (для всех, не безопасно) как-то так:

app.use(function (req, res, next) {
	res.header("Access-Control-Allow-Origin", req.headers.origin);
	res.header('Access-Control-Allow-Credentials', 'true');
	res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
	next();
});

для node.js + express

и указывать заголовок withCredentials, чтобы работали cookies:

var ajaxSettings = {
			method: form.method,
			url: form.action,
			data: JSON.stringify(data),
			dataType: 'json',
			contentType: 'application/json',
			processData: false,
			xhrFields: {
				withCredentials: true
			}
		};
		var ajaxRequest = $.ajax(ajaxSettings);
...

для jquery