我来帮你梳理下这个问题——你遇到的核心矛盾是：虽然你已经禁用了Apostrophe的CSRF，但jQuery在自动添加X-XSRF-TOKEN请求头，而目标API的CORS配置并未允许这个头，导致预请求直接失败。下面是几个可行的解决思路：

1. 阻止jQuery自动添加X-XSRF-TOKEN头 #

jQuery有个默认行为：如果检测到cookie里存在XSRF-TOKEN，就会自动在请求头里追加X-XSRF-TOKEN。哪怕后端关掉了CSRF校验，前端还是会发送这个头，触发CORS预请求的错误。

你可以在单个请求里直接移除这个头：

$.ajax({ 
    url: baseURL + '?' + qString, 
    contentType: 'application/json', 
    beforeSend: function(xhr) {
        // 清空X-XSRF-TOKEN请求头
        xhr.setRequestHeader('X-XSRF-TOKEN', null);
    },
    success: function (response) { 
        cb(null, response.objects); 
    }, 
    error: function (err) { // 注意：jQuery的ajax错误回调是error，不是failure
        failureHandler(err); 
        cb(err); 
    }, 
});

如果项目里有大量这类请求，也可以全局配置jQuery，避免重复编写代码：

// 在页面初始化阶段添加全局设置
$.ajaxSetup({
    beforeSend: function(xhr) {
        xhr.setRequestHeader('X-XSRF-TOKEN', null);
    }
});

2. 确认Apostrophe的CSRF禁用是否生效 #

有时候配置没生效可能是因为位置不对或者没重启服务器。请确保你的app.js里的配置是放在modules对象下的：

// app.js 正确的配置示例
module.exports = {
  modules: {
    'apostrophe-express': {
      csrf: false
    },
    // 其他模块配置...
  }
};

修改配置后必须重启Apostrophe服务器，否则新配置不会生效。另外，检查项目中是否还有自定义的CSRF中间件（比如express-csurf）在运行，这些也需要一并禁用。

3. 让目标API允许X-XSRF-TOKEN头（如果能控制API的话） #

如果你有权限修改目标API的CORS配置，直接在Access-Control-Allow-Headers里添加X-XSRF-TOKEN即可。比如用Express的cors中间件的话：

const cors = require('cors');
app.use(cors({
  origin: '你的前端域名', // 比如 http://localhost:3000
  allowedHeaders: ['Content-Type', 'X-XSRF-TOKEN']
}));

这样预请求就会通过，即使前端发送X-XSRF-TOKEN头也不会报错。

最后提个小细节：你原来的代码里用了failure回调，但jQuery的$.ajax方法里错误回调的参数名是error，不是failure，这个可能会导致错误处理逻辑无法触发，建议改成error。

内容的提问来源于stack exchange，提问作者priyansh gupta