Как настроить CORS для production?

В production никогда Allow-Origin: * — указывай конкретные домены: https://app.example.com. Allow-Credentials: true только если используешь cookies. Allow-Methods: только нужные (GET, POST, PUT, DELETE). Allow-Headers: Authorization, Content-Type и что реально нужно. Max-Age: 3600 (кеш preflight на час). Expose-Headers — какие response headers доступны JS. Для нескольких доменов — проверяй Origin динамически и отвечай конкретным доменом, не списком.