Gostaria do meu aplicativo somente para API do Rails 5, por enquanto em execução nohttp://localhost:3000, para aceitar apenas solicitações do meu aplicativo front-end NodeJS, por enquanto em execução nohttp://localhost:8888.

Então eu configurei/config/initializers/cors.rb como isso:

Rails.application.config.middleware.insert_before 0, Rack::Cors do
  allow do
    origins "http://localhost:8888"
    resource "*",
      headers: :any,
      methods: [:get, :post, :put, :patch, :delete, :options, :head]
  end
end

E eu escrevi este teste:

#/spec/request/cors_request_spec.rb

RSpec.feature "CORS protection", type: :request do
  it "should accept a request from a whitelisted domain" do
    get "/api/v1/bodies.json", nil, "HTTP_ORIGIN": "http://localhost:8888"
    expect(response.status).to eql(200)
  end
  it "should reject a request from a non-whitelisted domain" do
    get "/api/v1/bodies.json", nil, "HTTP_ORIGIN": "https://foreign.domain"
    expect(response.status).to eql(406)
  end
end

O primeiro teste está passando como esperado. Mas o segundo está falhando com um código de resposta 200. Por quê?

A propósito, não estou casada com um código de resposta 406; apenas um que indique que a solicitação não será atendida.