Одна повторяющаяся проблема с CORS заключается в том, что спецификация предписывает, чтобы заголовки запросов удалялись из предварительного запроса (HTTP OPTIONS). Однако, если сервер требует аутентификации, это означает, что предполетный запрос завершится ошибкой (поскольку Authorization заголовок не включается), и он не сможет получить требуемый access-control-allow-origin заголовок.
Единственный выход, по-видимому, состоит в том, чтобы настроить сервер так, чтобы не применять аутентификацию для запросов HTTP OPTIONS. Есть ли способ в apache 2.4, который я могу сделать Require valid-user зависит от метода http?
Вы можете ограничить объем Require valid-user используя Limit/LimitExcept :
<LimitExcept OPTIONS>
Require valid-user
</LimitExcept>
Видеть документация apache по Limit