Merge pull request #1515 from ovarn/master

Отсутсвие заголовков

Author: ruslauz

5-network/05-fetch-crossorigin/article.md

@@ -207,13 +207,15 @@ Access-Control-Expose-Headers: Content-Length,API-Key
 
 Поэтому, чтобы избежать недопониманий, браузер не делает "непростые" запросы (которые нельзя было сделать в прошлом) сразу. Перед этим он посылает предварительный запрос, спрашивая разрешения.
 
-Предварительный запрос использует метод `OPTIONS`, у него нет тела, но есть два заголовка:
+Предварительный запрос использует метод `OPTIONS`, у него нет тела, но есть три заголовка:
 
+- `Origin` содержит именно источник (домен/протокол/порт), без пути.
 - `Access-Control-Request-Method` содержит HTTP-метод "непростого" запроса.
 - `Access-Control-Request-Headers` предоставляет разделённый запятыми список его "непростых" HTTP-заголовков.
 
 Если сервер согласен принимать такие запросы, то он должен ответить без тела,  со статусом 200 и с заголовками:
 
+- `Access-Control-Allow-Origin` должен содержать разрешённый источник.
 - `Access-Control-Allow-Methods` должен содержать разрешённые методы.
 - `Access-Control-Allow-Headers` должен содержать список разрешённых заголовков.
 - Кроме того, заголовок `Access-Control-Max-Age` может указывать количество секунд, на которое нужно кешировать разрешения. Так что браузеру не придётся посылать предзапрос для последующих запросов, удовлетворяющих данным разрешениям.