1 статья с этим тегом
CORS — это то, как браузер управляет тем, может ли JS другого источника читать ответы вашего API. Неправильная настройка — отражение любого Origin или Access-Control-Allow-Origin:* с учётными данными — позволяет стороннему сайту читать данные с активным сеансом. Реальная защита: allowlist, не отражать Origin вслепую, запрет по умолчанию.