Chỉ cần làm rõ, Access-Control-Request-Method
là tiêu đề yêu cầu được đặt bởi trình duyệt trên yêu cầu preflight CORS và chỉ có thể có một giá trị. Tiêu đề Access-Control-Allow-Methods
là một tiêu đề phản hồi CORS và có thể có nhiều giá trị. Tôi giả sử bạn đang hỏi về Access-Control-Allow-Methods
vì đây là giá trị mà máy chủ chỉ định.
Tiêu đề Access-Control-Allow-Methods
cho biết phương thức HTTP nào được phép trên một điểm cuối cụ thể cho các yêu cầu có nguồn gốc chéo. Nếu bạn cho phép tất cả các phương thức HTTP, thì ok của nó để đặt giá trị thành một cái gì đó như Access-Control-Allow-Methods: GET, PUT, POST, DELETE, HEAD
. Tuy nhiên, nếu bạn muốn giới hạn điểm cuối chỉ bằng một vài phương pháp, bạn chỉ nên bao gồm các phương thức đó.
Vì lý do bạn chưa nhìn thấy điều này trước đây, tiêu đề này chỉ được sử dụng cho các yêu cầu preflight CORS. Nó có thể là ứng dụng của bạn đã không sử dụng CORS preflight, và sau đó một cái gì đó thay đổi để kích hoạt một preflight. Ứng dụng của bạn có sử dụng bất kỳ phương thức HTTP nào khác ngoài GET/POST hoặc bất kỳ tiêu đề HTTP tùy chỉnh nào không?
Bạn có thể tìm hiểu thêm về CORS yêu cầu preflight đây: http://www.html5rocks.com/en/tutorials/cors/
Điều này dường như là một điều rất tốt để làm cho _browser_ dừng các yêu cầu không cần thiết từ bao giờ làm phiền máy chủ web của bạn. –