CORS laat een server aangeven welke externe domeinen toegang tot resources krijgen. Door de Same-Origin Policy blokkeert de browser standaard cross-origin requests. CORS-headers (zoals Access-Control-Allow-Origin) maken uitzonderingen mogelijk. Nodig voor publieke API’s, CDN-assets en microservices. Complexe verzoeken doen een preflight (OPTIONS).