Nur zur Klarstellung: Access-Control-Request-Method
ist ein Anforderungsheader, der vom Browser für CORS-Preflight-Anforderungen festgelegt wird und nur einen Wert haben kann. Der Header Access-Control-Allow-Methods
ist ein CORS-Antwortheader und kann mehrere Werte haben. Ich nehme an, Sie fragen nach Access-Control-Allow-Methods
, weil dies der Wert ist, den der Server angibt.
Die Kopfzeile Access-Control-Allow-Methods
gibt an, welche HTTP-Methoden für stammursprungsübergreifende Anforderungen an einem bestimmten Endpunkt zulässig sind. Wenn Sie alle HTTP-Methoden zulassen, ist es in Ordnung, den Wert auf Access-Control-Allow-Methods: GET, PUT, POST, DELETE, HEAD
zu setzen. Wenn Sie den Endpunkt jedoch auf wenige Methoden beschränken möchten, sollten Sie nur diese Methoden einschließen.
Aus Gründen, warum Sie dies zuvor nicht gesehen haben, wird diese Kopfzeile nur für CORS-Preflight-Anfragen verwendet. Es könnte sein, dass Ihre Anwendung das CORS-Preflight nicht verwendet hat und dann etwas geändert wurde, um ein Preflight auszulösen. Werden in Ihrer Anwendung andere HTTP-Methoden als GET/POST oder benutzerdefinierte HTTP-Header verwendet?
Sie können hier mehr über CORS Preflight-Anfragen erfahren: http://www.html5rocks.com/en/tutorials/cors/
Das scheint eine sehr gute Sache zu sein, damit der _browser_ unnötige Anfragen daran hindert, jemals Ihren Webserver zu belästigen. –