Я пытаюсь отправить домен с несколькими источниками и добавить собственный заголовок «Авторизация». Пожалуйста, смотрите код ниже.

Ошибка:

XMLHttpRequest не может загрузить {url}. Поле заголовка запроса Авторизация не разрешена Access-Control-Allow-Headers.

function loadJson(from, to) {
    $.ajax({
        //this is a 'cross-origin' domain
        url : "http://localhost:2180/api/index.php",
        dataType : 'json',
        data : { handler : "statistic", from : from, to : to
        },
        beforeSend : setHeader,
        success : function(data) {
            alert("success");
        },
        error : function(jqXHR, textStatus, errorThrown) {
            alert("error");
        }
    });
}

function getToken() {
    var cookie = Cookie.getCookie(cookieName);
    var auth = jQuery.parseJSON(cookie);
    var token = "Token " + auth.id + ":" + auth.key;
}

function setHeader(xhr) {
    xhr.setRequestHeader('Authorization', getToken());
}

Я также попробовал:

headers : { 'Authorization' : getToken() },

в запросе ajax.

Может ли быть так, что фреймворк jquery-ajax блокирует перекрестную аутентификацию? Как я могу это исправить?

Обновить:

Кстати: есть ли более безопасный способ хранить auth.key на стороне клиента, чем в cookie? getToken () будет заменен более сложным методом, хэширующим тело, дату и т. д.