Same-Origin Policy изолирует документы; CORS — механизм явного разрешения кросс-доменных запросов с контролируемыми заголовками и методами.
Запросы «не простые» (кастомные заголовки, PUT, JSON с особыми типами) вызывают OPTIONS preflight — сервер должен ответить согласованным набором Access-Control-*.
- [Cross-Origin Resource Sharing (CORS) — MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS) — Полный разбор simple и preflight.
---
## Куки и `credentials`
При fetch(..., { credentials: 'include' }) нельзя отвечать Access-Control-Allow-Origin: * — нужен конкретный origin и Access-Control-Allow-Credentials: true.
Разводите публичный API и браузерные BFF-эндпоинты: так проще держать политику CORS узкой.