AleksandrMalinovskiy, нет. Ответ дать должен тот сервер который будет обрабатывать ваш запрос с фронта. То есть бэк. Пока фронт от бэка не получит разрешения - он запросы отправлять не будет.
AleksandrMalinovskiy, пятница уже тяжело мне соображать. давайте я вам попробую упрощенную ситуацию для чего нужен CORS.
Представьте что я владелец очень посещяемого сайта и мне не нравитесь вы и ваш сайт. Вот невзлюбил я. Что я могу сделать - разместить у себя в коде сайта ajax запрос на ваш сайт. Соотвественно каждый заходящий на мой сайт (а он как мы помним очень посещаемый) будет отправлять аякс запрос на ваш сервер. ДДос атака со стоимостью 0 баксов - ибо это буду делать не я - а компы моих посетителей. Вот что бы этого не было - перед каждым аякс запросом браузер спрашивает у таргет сервера - а можно я к вам обращусь - ровно через options. В ответ он получает как можно обращаться "access-control-allow-methods: GET,PUT,PATCH,POST,DELETE" и кому можно обращаться "Access-Control-Allow-Origin" если он видит что то не совпадает - он говорит не будут обращаться к этому серверу.
Теперича - как вы думаете где надо размещать Access-Control-Allow-Origin?
IvanovIvanIvanych, Это называется регулярное выражение. Которое гласит начинай брать от начала строки от 1 до n цифровых символов, как только встретишь не числовое - прекрати.
AleksandrMalinovskiy, и вообще в nginx conf у вас написано qa.bet.com. curl вы делаете к qa.com. Ответ содержит в себе заголовки CloudFlare - чего там у вас вообще странное происходит
AleksandrMalinovskiy, ну у вас ваша апи зачем то на запрос options отвечает редиректом, именно апи отвечает- nginx в этом абсолютно не причём. Следовательно nginx освобождаем из под стражи - он не виноват, идём копать апи
