Как заставить Laravel отправлять правильные заголовки для CORS?

Полный текст:

Access to XMLHttpRequest at 'https://autoapi.test/api/2/' from origin 'localhost:3000' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

Версия Laravel последняя (на днях установил) 6.0

barryvdh/laravel-cors установил по инструкции с Гитхаба

$ composer require barryvdh/laravel-cors

protected $middleware = [
    // ...
    \Barryvdh\Cors\HandleCors::class,
];

Больше ничего не добавлял и не менял.

А надо было?

Я же говорю: он ОТЧАСТИ решил проблему. То есть до него Api вообще никак не работало. А теперь оно не работает только в определенных участках кода. Например вот этот вывод:

return response('no query given', 200);

блокируется CORS, а вот этот - не блокируется:

return response('JUST RESPONSE', 200);

какая-то долбаная магия :(

Роман, ну вы же понимаете что от разного текста не может перестать работать сам CORS, так что явно не в этом дело.

попробуйте использовать response()->json() раз уж это апи.

А так всё равно ничего не понятно что может пойти не так.

Конфиг задеплойте в свою папку и посмотрите чтоб там были * везде где надо.

php artisan vendor:publish --provider="Barryvdh\Cors\ServiceProvider"

Проблема скорее всего в OPTIONS запросе, может быть вы роуты задаете как-нибудь так что все в свой контроллер тянете и CORS уходит мимо.