Как Spring обрабатывает CORS?

CORS (Cross-Origin Resource Sharing) — механизм разрешения запросов с других доменов. В Spring: @CrossOrigin на контроллере/методе — локально. WebMvcConfigurer.addCorsMappings() — глобально. В Spring Security — CorsConfigurationSource bean. Важно: Spring Security фильтр CORS должен быть ДО аутентификации, иначе preflight OPTIONS-запрос будет заблокирован. Настраиваешь: allowedOrigins, allowedMethods, allowedHeaders, allowCredentials, maxAge. В продакшене — только конкретные origins, не "*".