Jedna rychlovka – občas prostě chceme, aby naše API netrpělo omezením na same-origin policy prohlížeče, protože ho máme zabezpečené třeba pomocí OAuth a je nám jedno, kdo ho volá, dokud má správný access token. Řešením je CORS (Cross-Origin Resource Sharing).
Hlavičky, kterými server prohlížeči řekne, že je mu jedno, odkud požadavek přišel, a že umí přijímat kredence, jsou tyto:
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: OPTIONS,GET,POST,PUT,DELETE
Access-Control-Allow-Headers: Content-Type, Authorization