Google cloud platform 使用XHR请求从JS访问IAP安全资源？

我正在尝试访问谷歌应用程序引擎，该引擎使用谷歌云IAP（身份识别代理）进行保护。我可以使用postman以及任何后端服务（如Node或Python）通过使用identity令牌访问资源。但是，当我试图使用相同的身份令牌从浏览器访问它时，我得到了一个401未经授权的错误

我通过以下文章获得身份令牌：

var xhr=new-XMLHttpRequest（）；
xhr.withCredentials=true；
addEventListener（“readystatechange”，function（））{
if（this.readyState==4）{
console.log（this.responseText）；
}
});
打开（“获取”，"'已被CORS策略阻止：对飞行前请求的响应未通过访问控制检查：请求的资源上不存在'access control Allow Origin'标头相关问题：我也看到了相同的问题。但建议的解决方案不适用于云IAP。我想，我找不到任何设置来允许IAP添加这些标头或传递CORS预飞行请求（
选项
）。你找到解决方案了吗？没有，我还没有找到解决方案。好消息：云IAP支持CORS飞行前请求。他们大约在一周前添加了它。相关问题：我也看到了同样的问题。但我想建议的解决方案不适用于云IAP。我找不到任何设置来允许IAP添加这些标头或传递CORS飞行前请求s（
选项
）。你找到解决方案了吗？没有，我还没有找到解决方案。好消息：云IAP支持CORS飞行前请求。他们大约在一周前添加了它。
var xhr = new XMLHttpRequest();
            xhr.withCredentials = true;

            xhr.addEventListener("readystatechange", function() {
                if (this.readyState === 4) {
                    console.log(this.responseText);
                }
            });

            xhr.open("GET", "<appengine_url>", true);
            xhr.setRequestHeader("Accept", "text/html,*/*");
            xhr.setRequestHeader("X-Requested-With", "XMLHttpRequest");
            xhr.setRequestHeader("Authorization", "Bearer <identity_token>");

            xhr.send(data);