CORS
CORS (совместное использование ресурсов между источниками)
Механизм безопасности браузера, который позволяет веб-страницам запрашивать ресурсы с домена, отличного от того, который обслуживает страницу, контролируемый HTTP-заголовками, указывающими, какие источники разрешены.
Техническая деталь
CORS работает через HTTP-заголовки: Access-Control-Allow-Origin указывает разрешённые источники, Access-Control-Allow-Methods перечисляет допустимые HTTP-методы, а Access-Control-Allow-Headers — разрешённые заголовки запросов. Для «непростых» запросов (с пользовательскими заголовками или методами, отличными от GET/HEAD/POST) браузеры сначала отправляют предварительный запрос OPTIONS. Access-Control-Allow-Credentials: true разрешает передачу куки. Заголовок Access-Control-Max-Age кэширует результаты предварительных запросов. Без корректных CORS-заголовков браузеры блокируют ответы на межсайтовые fetch/XMLHttpRequest.
Пример
```javascript
// CORS: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```