Como resolver CORS quando front-end e API estão em domínios diferentes?

CORS não é defeito do navegador nem detalhe cosmético do back-end. É uma política de segurança baseada em cabeçalhos HTTP, e o servidor precisa responder exatamente do jeito que o navegador espera. Quando front-end e API vivem em origens diferentes, esse alinhamento passa a ser obrigatório.

A parte que mais gera confusão é autenticação com cookie ou sessão. Segundo a documentação do MDN, requisições com credenciais exigem origem explícita; Access-Control-Allow-Origin: * não funciona nesse caso. Além disso, o preflight OPTIONS precisa ser aceito, e o servidor deve responder com os métodos, headers e política de credenciais corretos. Em cenários com cookie, entram ainda SameSite, Secure e domínio do cookie.

Na prática, resolver CORS exige olhar para o conjunto inteiro: a origem exata do front-end, o comportamento do navegador, o middleware da API e a estratégia de autenticação. Muitas implementações falham porque tentam “liberar tudo” em vez de configurar a origem certa para o ambiente certo.

Quando a configuração está coerente, CORS deixa de ser uma dor misteriosa e vira apenas mais uma parte previsível do contrato entre cliente e servidor.