CORS (Cross-Origin Resource Sharing) — механизм браузера, который контролирует, какие домены могут делать запросы к твоему API. Если фронт на localhost:3000 стучится к API на localhost:8080 — браузер заблокирует запрос без правильных CORS-заголовков.
Сервер отвечает заголовками:
Access-Control-Allow-Origin: https://myapp.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: Authorization, Content-TypeДля "непростых" запросов (PUT, DELETE, кастомные заголовки) браузер сначала шлёт preflight OPTIONS-запрос. В Go CORS обычно настраивают через middleware — rs/cors или свой. Никогда не ставь Allow-Origin: * на проде с авторизацией — это дыра в безопасности.