CORSリクエストはChrome=で失敗します

私のAPIサーバーで自己署名証明書を使用していますが、それが問題のようです。 Googleを起動した場合、Chrome with --disable-web-securityオプションを使用すると、リクエストヘッダー付きのCORSが機能します。--disable-web-securityがなければ、CORSリクエストを自己署名APIサーバーに送信できますが、ヘッダーを追加できません（ Content-Typeを除く）。

Access-Control-Allow-Headers：*は、「OPTIONS」リクエストに対してのみ設定する必要があることがわかりました。 POSTリクエストに対してそれを返す場合、ブラウザはリクエストをキャンセルします（少なくともchromeの場合）

次のPHPコードは私のために働きます

// Allow CORS
header("Access-Control-Allow-Origin: *");
header('Access-Control-Allow-Credentials: true');    
header("Access-Control-Allow-Methods: GET, POST, OPTIONS"); 

// Access-Control headers are received during OPTIONS requests
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
  header("Access-Control-Allow-Headers: *");
}

私はいくつかの誤解を招く応答で同様の質問を見つけました：-サーバースレッドはこれがクロムの2年間のバグであると言います：Access-Control-Allow-Headersはlocalhostと一致しません。それは間違っています：Postを使用してローカルサーバーにCORSを通常どおり使用できます-Access-Control-Allow-Headersはワイルドカードを受け入れます。それも間違っています、ワイルドカードは私にとってはうまくいきます（私はChromeでのみテストしました）

この問題を理解するのに半日かかります。

ハッピーコーディング

サーバー側：サーバーはヘッダー「Access-Control-Allow-Credentials」を設定し、許可されたヘッダーを「Access-Control-Allow-ヘッダー」。

クライアント側：Authヘッダーを明示的に渡す代わりに、$。ajax（）でxhrFieldsを設定できます。

xhrFields: {
    withCredentials: true 
}

詳細 こちら 。