CORS SAFELIST

Simple Request는 safelisted 조건에 들어오는 요청이다

메서드, 요청 헤더, POST Content-Type이 제한된 범위에 있으면 preflight 없이 실제 요청으로 갈 수 있다.

methodheaderscontent type

MethodGET, HEAD, POST 범위에 들어와야 한다.

Request headersAccept, Accept-Language, Content-Language 등 safelisted 헤더 중심이다.

POST Content-Typeapplication/x-www-form-urlencoded, multipart/form-data, text/plain

preflightAuthorization

인증 헤더를 직접 붙이면 단순 조건을 벗어난다.

preflightapplication/json

JSON POST는 safelisted content type이 아니라서 사전 확인이 필요하다.

actualcredentials

쿠키 포함 여부는 fetch credentials와 쿠키 SameSite 정책까지 함께 봐야 한다.