CORS контролирует доступ к API шлюза заголовков Access-Control-Allow-Origin в браузере через HTTP-источник.
Браузеры блокируют чтение ответов интерфейсным JS, если сервер не отправляет разрешающие заголовки CORS. Preflight OPTIONS запрашивает методы проверки и пользовательские заголовки.
CORS — это политика браузера, а не аутентификация сервера — API-интерфейсам по-прежнему нужны токены. Tentaco CORS Tester проверяет конечные точки через прокси-сервер для отладки во время интеграции с внешним интерфейсом.