Estoy tratando de enviar un dominio de origen cruzado y agregar un encabezado de 'Autorización' personalizado. Consulte el código a continuación.

Error

XMLHttpRequest no puede cargar {url}. Campo de encabezado de solicitud La autorización no está permitida por Access-Control-Allow-Headers.

function loadJson(from, to) {
    $.ajax({
        //this is a 'cross-origin' domain
        url : "http://localhost:2180/api/index.php",
        dataType : 'json',
        data : { handler : "statistic", from : from, to : to
        },
        beforeSend : setHeader,
        success : function(data) {
            alert("success");
        },
        error : function(jqXHR, textStatus, errorThrown) {
            alert("error");
        }
    });
}

function getToken() {
    var cookie = Cookie.getCookie(cookieName);
    var auth = jQuery.parseJSON(cookie);
    var token = "Token " + auth.id + ":" + auth.key;
}

function setHeader(xhr) {
    xhr.setRequestHeader('Authorization', getToken());
}

También probé:

headers : { 'Authorization' : getToken() },

en la solicitud ajax.

¿Podría ser que el marco jquery-ajax está bloqueando la autenticación de origen cruzado? ¿Cómo puedo arreglar esto

Actualizar

Por cierto: ¿hay un método más seguro para almacenar la auth.key en el lado del cliente que en una cookie? getToken () se reemplazará con un método más complejo, que codifica el cuerpo, la fecha, etc.