Политика одного источника (Same-Origin Policy)

Базовое правило безопасности браузера: скрипт на странице может обращаться только к ресурсам того же происхождения (схема + домен + порт), с которого страница загружена, если не настроено иное. Запросы к другому домену по умолчанию блокируются или ограничиваются – предотвращает чтение чувствительных данных с внешних ресурсов. CORS – механизм, позволяющий явно разрешить междоменные запросы при необходимости.