クロスドメインajaxプリフライト障害の原点チェック

Question

これはうまくいかないようです：

$.ajax({
    url:      "http://localhost:3000/foo.json",
    data:     { foo: 'bar' },
    headers:  { 'HTTP_X_CUSTOMHEADER': 'foobar' },
    xhrFields: { withCredentials: true }
});

jsfiddleで実行するとき、an OPTIONS リクエスト（Chrome Debug Toolsによる）は、次のようになります。

Access-Control-Request-Headers: Origin, HTTP_X_CUSTOMHEADER, Accept
Access-Control-Request-Method:  GET
Origin:                         http://fiddle.jshell.net

そして、（Chromeデバッグツールによると）私のローカルサーバーは次のヘッダーを返します。

（読みやすさのために手動で再フォーマットされました）

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers:     HTTP_X_CUSTOMHEADER
Access-Control-Allow-Methods:     GET, POST, PUT, DELETE, OPTIONS
Access-Control-Allow-Origin:      http://fiddle.jshell.net
Access-Control-Max-Age:           10

Cache-Control:                    no-cache
Connection:                       Keep-Alive
Content-Length:                   1
Content-Type:                     text/html; charset=utf-8
Date:                             Wed, 14 Sep 2011 22:42:28 GMT
Server:                           WEBrick/1.3.1 (Ruby/1.8.7/2010-01-10)
X-Runtime:                        2

そして、コンソールでは、次のようなエラーメッセージが表示されます。

XMLHttpRequest cannot load http://localhost:3000/foo.json?foo=bar.
Origin http://fiddle.jshell.net is not allowed by Access-Control-Allow-Origin.

しかし Access-Control-Allow-Origin ヘッダーは、私のサーバーがプリライトリクエストに応答したときと同じように見えます。では、このパズルのどんな作品が欠けているのでしょうか？