Настройка разрешенных источников с IAP

Попытка использовать CORS для отправки AJAX-запроса к API, размещенному в App Engine и защищенному IAP. Я сталкиваюсь с этой ошибкой: ... был заблокирован политикой CORS: Ответ на предполётный запрос не проходит проверку контроля доступа: Нет 'Access-Control-Allow-Origin'

Итак, мне нужно как-то сообщить IAP о хосте, с которого я выполняю вызов AJAX. Но как? Я пробовал app.yaml, но мой обработчик типа сценария. И если я просто попытаюсь добавить заголовки программно в коде сервера, который тоже не работает - скорее всего, потому что предварительный запрос не включает заголовок авторизации (не так ли?), Поэтому он даже не выполняет обработчик запроса.