Node.js Express App CORS 不遵守允许的方法

我有一个使用 Express 的 Angular 前端和 Node 服务器。有时我需要在前端的响应标头中设置 cookie。为了让前端获取 cookie，我使用

app.use(cors({
    //origin settings,
    methods: ['GET','PUT','OPTION'],
    credentials: true
}))

但是，即使我没有在方法中指定'POST'，来自前端的post请求仍然可以获取cookie。

我尝试了不同的方法组合，发现无论我将哪种方法放入数组，CORS 都允许每种方法。我很困惑为什么会这样，想知道如何限制 cors 方法。