在我的例子中，我必须在所有现有中间件下面添加一个自定义头中间件。我认为一些中间件可能会与Access-Control-Allow-Origin头相冲突，并尝试根据他们的需要来设置它。

所以代码应该是这样的:

app.use(cors());

....all other middleware here

app.use(function (req, res, next) {
  res.header("Access-Control-Allow-Origin", "http://localhost:3000");
  res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
  next();
});
...your routes

添加模式:no-cors可以避免API中的CORS问题。

fetch(sign_in, {
        mode: 'no-cors',
        credentials: 'include',
        method: 'POST',
        headers: headers
    })
    .then(response => response.json())
    .then(json => console.log(json))
    .catch(error => console.log('Authorization failed : ' + error.message));
}

在过去的几年里，我遇到过几次这样的错误——似乎是在一个以前正常运行的网站上突然出现的。

我确定Chrome(可能还有其他浏览器)可以在服务器上发生一些不相关的错误时返回此错误，阻止它处理CORS请求(并且在返回HTTP 500错误之前)。

这些都发生在。net Core环境中，我不确定它是否会发生在其他环境中。

无论如何，如果您的代码以前运行过，并且看起来是正确的，那么在您疯狂地试图解决实际上并不存在的错误之前，请考虑调试以发现是否有其他错误正在触发。

对我来说，解决办法简直太蠢了……允许的原点不应该有斜杠。

例如:https://example.com/ -> https://example.com

在2021年12月，Chrome 97，授权:持有人…不允许，除非它在Access-Control-Allow-Headers preflight响应中(忽略*)。它发出了这样的警告:

[Deprecation] authorization will not be covered by the wildcard symbol (*)

参见:Chrome企业版发布说明，Chrome 97

它似乎也对Access-Control-Allow-Origin上的*执行了相同的限制。如果您现在想在*类行为被阻止后恢复它，您可能必须读取请求者的原点，并在预飞行响应中返回它作为允许的原点。

在某些情况下，当存在其他无效的凭据(例如:过期的JWT)时，库可能会删除Access-Control-Allow-Origin响应标头。然后，浏览器显示“No 'Access-Control-Allow-Origin'头是存在的”错误，而不是实际的错误(在这个例子中可能是过期的JWT)。请确保您的库不会丢失报头，从而使客户端感到困惑。

在我的例子中，我使用下面的解决方案。

前端还是角

post(
    this.serverUrl, dataObjToPost,
    {
      headers: new HttpHeaders({
           'Content-Type':  'application/json',
         })
    }
)

后端(我使用PHP)

header("Access-Control-Allow-Origin: http://localhost:4200");
header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
header("Access-Control-Allow-Headers: Content-Type, Authorization");

$postdata = file_get_contents("php://input");
$request = json_decode($postdata);
print_r($request);