CORS contrôle le HTTP d'origine croisée du navigateur — Les en-têtes Access-Control-Allow-Origin ferment l'accès à l'API.
Les navigateurs empêchent JS frontend de lire les réponses à moins que le serveur n'envoie des en-têtes CORS permissifs. Les requêtes OPTIONS de contrôle en amont valident les méthodes et les en-têtes personnalisés.
CORS est la politique du navigateur, pas l'authentification du serveur : les API ont toujours besoin de jetons. Tentaco CORS Tester sonde les points de terminaison via un proxy pour le débogage lors de l'intégration du frontend.