CORS (Cross-Origin Resource Sharing) — механизм безопасности браузера, который позволяет контролировать доступ веб-страниц к ресурсам с другого домена.

Он нужен для предотвращения несанкционированных запросов между разными источниками (домены, порты, протоколы).

Основные заголовки CORS:

Access-Control-Allow-Origin — указывает, каким доменам разрешён доступ к ресурсу.
Access-Control-Allow-Methods — какие HTTP-методы разрешены (GET, POST, PUT и т.д.).
Access-Control-Allow-Headers — какие заголовки клиент может использовать при запросе.
Access-Control-Allow-Credentials — разрешает отправлять куки и авторизационные данные.
Access-Control-Expose-Headers — какие заголовки доступны клиенту.
Access-Control-Max-Age — время, в течение которого результат проверки кросс-доменных запросов кэшируется.

Пример:

Если фронтенд на example.com делает запрос к api.example.org, сервер api.example.org должен в ответе добавить:

Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods: GET, POST

Это позволит браузеру разрешить запрос.

Расскажите про CORS: для чего нужен, какие заголовки используются?