O CORS controla o HTTP de origem cruzada do navegador – os cabeçalhos Access-Control-Allow-Origin bloqueiam o acesso à API.
Os navegadores impedem que o frontend JS leia as respostas, a menos que o servidor envie cabeçalhos CORS permissivos. As solicitações Preflight OPTIONS validam métodos e cabeçalhos personalizados.
CORS é uma política do navegador, não uma autenticação do servidor – as APIs ainda precisam de tokens. O Tentaco CORS Tester investiga endpoints via proxy para depuração durante a integração de front-end.