Простой запрос GET без пользовательских заголовков. Ответ возвращается, как ожидалось. Данные в теле доступны, но не заголовки.
Когда я пытаюсь получить доступ к заголовку "etag", браузеры вызывают исключение:
Отказано, чтобы получить небезопасный заголовок "etag"
Chrome, Safari и Firefox ведут себя одинаково. Я не тестировал его в IE.
Что мне здесь не хватает?
При использовании CORS отображаются только простые заголовки ответов. Простые заголовки ответов определены здесь. ETag не является простым заголовком ответа. Если вы хотите открыть непростые заголовки, вам нужно установить заголовок Access-Control-Expose-Headers, например:
Access-Control-Expose-Headers: ETag
Однако обратите внимание, что я заметил ошибки в браузерах Chrome, Safari и Firefox, которые предотвращают правильное отображение непростых заголовков. Это может быть исправлено к настоящему времени, я не уверен.
Вам не нужно выполнять предпродажный запрос, поскольку предполетная проверка требуется только для методов не-GET/POST-http или непростых заголовков запросов (и вы спрашиваете об заголовках ответов).
Вы когда-нибудь пробовали AJAX 2.0 (совместное использование доменов) - это методология, довольно недавно выработанная W3C: http://www.w3.org/TR/XMLHttpRequest2/#ref-cors
Также есть и другой способ сделать это, который называется JSON-P, как JSON-запрос, но вы можете использовать его для кросс-доменов: http://en.wikipedia.org/wiki/JSONP
Оба могут быть очень опасны для владельцев сайтов, если они не настроены правильно. Поэтому будьте осторожны при использовании.
[PS] Не уверен, что это поможет: http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html