Что такое OPTIONS запрос

А, слушай, про этот ваш OPTIONS запрос, ну это ж классика, блядь! Это как подойти к двери ночного клуба и спросить: "Мужик, а что у вас тут вообще можно? Вход платный? В пальто можно? А с бутылкой?" Вот эта самая хуйня, только для браузера.

Представь: твой скрипт, такой хитрожопый, хочет стукнуться на чужой сервак, на example.com. А браузер, он же не дурак, он сначала вежливо так, по-пацански, отправляет OPTIONS. Типа: "Э, сабака сука, слушай сюда! Я с your-site.com припёрся, хочу POSTнуть тебе данные, с заголовком Content-Type. Ты как, не против?"

И сервер, если он не конченный пидарас шерстяной, отвечает: "Да похуй, заходи, POST, GET, OPTIONS — всё можно, вот тебе пропуск (Access-Control-Allow-Origin), только не дерись".

А если сервер тупой или злой, он такой: "Нахуй иди, с твоего сайта нельзя", и браузер твоему скрипту говорит: "Ну я ж предупреждал, пиздец, не вышло".

Вот этот весь цирк с конями называется CORS (Cross-Origin Resource Sharing). Браузер сам, сука, этот OPTIONS и отправляет перед какими-то сложными запросами, чтобы не наебнуться. А в ручном режиме, через curl или постман, его можно тупо для разведки использовать: "Эй, сервак, а на этом URL (/api/data) что вообще можно делать?"

Ответ он присылает в заголовках, вот как в примере:

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://your-site.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: Content-Type

Видишь? Всё прозрачно, как слеза комсомолки. Разрешил методы, разрешил заголовки. Красота, ёпта!

А если не разрешил — ну, значит, доверия ебать ноль, и твой запрос накроется медным тазом. Вот и вся магия, блядь. Ничего сложного, но без этого — ни туды и ни сюды в современной веб-ебучке.