为了防止跨站点请求伪造 (CSRF) 攻击，许多 Web 服务器都需要在请求头中包含特定的标记。 在使用 Angular 发起 AJAX 调用时，您可能会在浏览器的开发工具中看到'预检请求”(preflight requests) 的消息。此消息是由 Angular 自动发送的，以确定服务器是否允许该请求。

要添加所需的标记，请在以下请求代码中添加 headers：

import { Injectable } from '@angular/core';
import { HttpClient, HttpHeaders } from '@angular/common/http';
import { Observable } from 'rxjs';

@Injectable({
  providedIn: 'root'
})

export class MyService {
  constructor(private http: HttpClient) { }

  getData(): Observable {
    const url: string = 'http://example.com/data.json';

    const httpOptions = {
      headers: new HttpHeaders({
        'Content-Type': 'application/json',
        'Authorization': 'my-auth-token',
        'X-Csrf-Token': 'my-X-Csrf-Token'
      })
    };

    return this.http.get(url, httpOptions);
  }
}

在上面的代码中，我们知道服务器需要从 X-Csrf-Token 头中获取用户标记，因此我们把这个标记添加到了请求的头中。

请注意，如果您仍然在开发模式下工作，您无需手动添加预检请求头。 Angular CLI 会自动处理这个问题。 因此，当您进入生产模式时，请确保关闭此选项。

在生产模式下运行，您将需要确保在服务器端设置 CORS (跨域资源共享) 头，以避免预检请求被完全拒绝。