CORS controlla l'HTTP multiorigine del browser: le intestazioni Access-Control-Allow-Origin determinano l'accesso all'API.
I browser impediscono a JS frontend di leggere le risposte a meno che il server non invii intestazioni CORS permissive. Le OPZIONI di verifica preliminare richiedono metodi di convalida e intestazioni personalizzate.
CORS è la politica del browser, non l'autenticazione del server: le API necessitano ancora di token. Tentaco CORS Tester sonda gli endpoint tramite proxy per il debug durante l'integrazione del frontend.