MDN Access Cotrol docでは、認証情報を含む GET リクエストがプリフライトされません。ただし、応答ヘッダーに Access-Control-Allow-Credentials: true が含まれていない場合、呼び出し元のクライアントは応答を利用できません。この動作が POST (資格情報を含む単純な POST 要求 - コンテンツ タイプがフォーム データである可能性があります) 要求でも同じである場合、POST によってサーバーの状態が変更される可能性がありますが、クライアントが応答を利用できない可能性があります。この仮定は正しいですか?
OR POST リクエストに資格情報がプリフライトされていますか?