Cross-Origin Resource Sharing
AとBのドメインを保有している同じ会社が、サーバー間でリソースのやりとりをしたい場合にSOPの制限に引っかかるので面倒 ブラウザ内にアクセスを許可するにはAccess-Control-Allow-Originヘッダを付与する
WebページがAが異なるOriginを持つBのリソースにブラウザ内でアクセスする際
リソースBのレスポンス中にAccess-Control-Allow-Originヘッダが含まれている
その中にAのOriginを指す文字列または*が含まれている
制限された場合は、Access-Control-Allow-Originが返ってこないか文字列を含まないAccess-Control-Allow-Originが返ってくる
認証情報とかが付与されている場合。例えばCookieなどで認証情報が付加された状態でCORSなリクエストが行われるときは Access-Control-Allow-Originが*ではなく明示的なOriginヘッダーを付いている
レスポンスとしてAccess-Control-Allow-Credentialsがtureであること
これがないと弾かれる