하지만 예외도 있다. CORS 표준은 이전 버전의 서버에는 통용되지 않으므로 다음 헤더를 사용하는 경우에는 실행 전 요청이 없다.
• application/x-www-form-urlencoded
• multipart/form-data
• text/plain
그리고 다음 HTTP 요청에도 쓰이지 않는다.
• HTTP GET
• HTTP POST
• HTTP HEAD
서버에서는 들어오는 모든 요청을 여전히 검증해야 한다. 하지만 이에 더해서 API를 외부에 공개하려면 HTTP OPTIONS 요청에 대한 응답으로, 서버에서 허용되는 메서드와 응답을 받는 위치를 모두 보내주어야 한다.
이 부분은 대부분 인프라 수준에서 수행된다. 서버 애플리케이션의 규모가 계속 커지면 각 애플리케이션에서 CORS를 구현하는 것이 아니라 API 게이트웨이에서 인프라 전체에 반영해 구현하는 것이 합리적이다.