Что такое CORS и зачем он нужен? - Безопасность

A Механизм шифрования запросов между браузером и сервером

B Политика браузера, ограничивающая кросс-доменные запросы и разрешающая их через заголовки сервера

C Способ кеширования ответов API

D Протокол аутентификации для веб-приложений

Объяснение вопроса

CORS (Cross-Origin Resource Sharing) - механизм безопасности в браузере. По правилу same-origin скрипт со страницы одного источника (схема + домен + порт) по умолчанию не может читать ответы HTTP-запросов к другому источнику.

Если бэкенд API на другом домене должен быть доступен с веб-страницы, сервер должен явно разрешить кросс-доменные запросы, отдавая заголовки: Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers.

w.Header().Set("Access-Control-Allow-Origin", "https://frontend.example.com")
w.Header().Set("Access-Control-Allow-Methods", "GET, POST, OPTIONS")
w.Header().Set("Access-Control-Allow-Headers", "Content-Type, Authorization")

CORS не заменяет проверку прав на сервере: заголовки CORS проверяет только браузер.