1 artigo com esta tag
O CORS é como o navegador controla se o JS de outra origem pode ler as respostas da sua API. Uma configuração incorreta — refletir qualquer Origin, ou Access-Control-Allow-Origin:* com credenciais — deixa um site de terceiros ler dados de um usuário logado. A defesa de verdade: uma lista de permissões, não refletir a Origin cegamente, negar por padrão.