1 artículo con esta etiqueta
CORS es cómo el navegador controla si el JS de otro origen puede leer las respuestas de tu API. Una mala configuración —reflejar cualquier Origin, o Access-Control-Allow-Origin:* con credenciales— deja que un tercero lea datos con sesión iniciada. La defensa real: una lista de permitidos, no reflejar el Origin a ciegas, denegar por defecto.