код состояния должен возвращать хорошо написанный HTTP-сервер, когда он получает предварительную проверку CORS (OPTIONS) запрос?

200, 204 или что-то другое?

Должен ли код состояния отличаться в случае, если источник разрешен (и соответствующие заголовки будут установлены) или не разрешен (и заголовки CORS не будут установлены или не будут соответствовать источнику)?