CORS - разрешение cross-origin запросов. Браузер шлет preflight (OPTIONS); сервер отвечает Access-Control-Allow-Origin, Allow-Methods, Allow-Headers. Для простого случая: разрешить один origin или * (для публичного API). В Go middleware проверяет Origin, выставляет заголовки, для OPTIONS возвращает 204. Credentials - Allow-Credentials: true и конкретный Origin (не *).
w.Header().Set("Access-Control-Allow-Origin", "https://app.example.com")
w.Header().Set("Access-Control-Allow-Methods", "GET, POST, OPTIONS")
if r.Method == http.MethodOptions { w.WriteHeader(204); return }