CORS (Cross-Origin Resource Sharing) ist ein Browser-Sicherheitsmechanismus, der steuert, ob eine Webseite von einer Origin Anfragen an einen Server unter einer anderen Origin stellen darf. Standardmäßig blockieren Browser Cross-Origin-Anfragen; der Server muss diese explizit über Response-Header zulassen.
Same-Origin-Policy und das Problem
Origin = scheme + host + port. These are DIFFERENT origins:
https://app.example.com → https://api.example.com (different host)
http://localhost:3000 → http://localhost:4000 (different port)
Browser blocks the cross-origin request UNLESS the server sends CORS headers allowing it.
