Spring Security CORS对Spring的调用会从请求中删除标头

我有一个spring-boot+spring安全应用程序，在该应用程序中我允许对该应用程序进行CORS(跨域)调用。

我定义了以下弹簧安全配置，

http
.authorizeRequests()
.antMatchers( "/transaction/**").hasRole(SOME_ROLES)
.antMatchers( "/", "/anonymous/pay").permitAll()
.anyRequest().authenticated()
.and()
.csrf().disable()
.addFilterBefore(new StatelessLoginFilter(LOGIN_FILTER_URL, tokenAuthenticationService, authenticationManager()), UsernamePasswordAuthenticationFilter.class)
.addFilterBefore(new StatelessAuthenticationFilter(tokenAuthenticationService), UsernamePasswordAuthenticationFilter.class)
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).maximumSessions(1);

我在下面添加了CORS配置，

@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/anonymous/pay")
.allowedOrigins("http://mydomain:8080")
.allowedMethods("PUT", "DELETE", "OPTIONS")
.allowedHeaders("header1", "header2", "header3")
.exposedHeaders("header1", "header2")
.allowCredentials(true).maxAge(3600);
// Add more mappings...
}
}

问题：

当在http://mydomain:8080/anonymous/pay上从不同的源(跨源)发送请求时，过滤器仍会被调用，而且也没有发送到实际/pay调用中的标头。值得注意的是，在发送实际请求之前，会从chrome向服务器发送OPTIONS调用。但是在实际请求中发送的/pay中缺少标头。一旦StatelessAuthenticationFilter被触发，HTTP请求就不携带在/pay调用中发送的headers。

有什么见解吗？