CORS: заголовки ответа

Access-Control-Allow-Origin – какие домены разрешены (может быть конкретный домен или "*" для всех источников); Access-Control-Allow-Methods – какие методы можно использовать при обращении к ресурсу из другого домена; Access-Control-Allow-Headers – список дополнительных заголовков, которые разрешено отправлять; Access-Control-Allow-Credentials – разрешены ли куки/авторизация; Access-Control-Max-Age – время в секундах, на которое результат preflight-запроса можно кешировать.