Каким образом осуществляется проверка политики одного источника (CORS) в браузерах?

Политика одного источника (Same-Origin Policy) в браузерах ограничивает доступ веб-страниц к ресурсам, загруженным с другого домена, протокола или порта. CORS (Cross-Origin Resource Sharing) — это механизм, который позволяет серверу явно разрешать доступ к своим ресурсам с других источников.

Проверка CORS происходит следующим образом:

1. Когда браузер делает запрос к ресурсу с другого источника (например, AJAX-запрос), он автоматически добавляет заголовок Origin, указывающий источник запроса.
2. Сервер, получив запрос, проверяет заголовок Origin и решает, разрешать ли доступ.
3. Если доступ разрешён, сервер в ответе добавляет заголовок Access-Control-Allow-Origin с разрешённым источником (или * для всех).
4. Если браузер видит этот заголовок и он соответствует источнику страницы, запрос считается успешным.

Для некоторых типов запросов (например, с нестандартными заголовками или методами, отличными от GET/POST) браузер сначала отправляет preflight-запрос OPTIONS, чтобы проверить разрешения.

Таким образом, проверка CORS — это взаимодействие браузера и сервера через специальные HTTP-заголовки, обеспечивающее безопасность доступа к ресурсам между разными источниками.