同一オリジンポリシー(SOP)
同一のオリジンのリクエストのみを許可するってブラウザの仕組み
ブラウザで実装されてるから基本的にブラウザ限定の話
ブラウザの原則的な感じかな。
簡単にいえば他のサイトの情報とかにアクセスできたらやばいから隔離するためにそうなってるって感じだと思う。
じゃないと、cookieやらdomやらiframeから取得したりとやりたい放題できてしまう。
だから隔離するためにこういうポリシーが適用されている。
例外もある詳しくは以下参照
異なるオリジンへのネットワークアクセス
フォームのリクエストとかimgとかが異なるドメインでも成功するのは例外として許可されてたりするから
Fetch API, XMLHttpRequestは同一オリジンポリシーに従うため知らないとたまにつまづく
その制限があるから他のオリジンにはリクエストできないではなくリクエストしたレスポンスが破棄される
それを緩和させる機能としてcorsがある
ちなみにブラウザの機能APIでの通信とかは関係ない
だからnextjsのAPIサーバーで同一オリジンから別のオリジンにアクセスすることでcorsを回避したりとかもできる
参考
https://developer.mozilla.org/ja/docs/Web/Security/Same-origin_policy