CORS est souvent mal compris : ce n’est pas un mécanisme qui protège une API contre des attaques, mais une sécurité implémentée par le navigateur pour empêcher des sites malveillants d’effectuer des requêtes en utilisant les données ou la session d’un utilisateur à son insu. Concrètement, le serveur répond normalement aux requêtes, mais le navigateur bloque l’accès à la réponse côté JavaScript si les en-têtes CORS ne sont pas autorisés, ce qui signifie qu’une API reste accessible en dehors du navigateur (via curl, serveur backend, etc.) et doit donc être sécurisée par d’autres moyens comme l’authentification. L’idée clé est que CORS sert à protéger les utilisateurs contre des abus cross-origin (comme le CSRF), pas à restreindre l’accès réel à une API, d’où l’importance de ne pas le considérer comme une barrière de sécurité côté serveur.