CORS는 HTTP 헤더를 사용하여 작동합니다. 클라이언트가 서버로 요청을 보낼 때, 브라우저는 요청헤더에 Origin 필드를 추가합니다. 이 필드에는 웹 페이지의 도메인 정보가 포함됩니다. 서버는 이 Origin을 확인하고, 응답 헤더에 ‘Access-Control-Allow-Origin’ 필드를 추가하여 클라이언트에게 리소스 공유를 허용할 도메인을 알려줍니다.

만약 서버가 모든 도메인의 요청을 수락한다면, 응답 헤더에 아래의 값을 설정합니다.

Access-Control-Allow-Origin: *

하지만 보안상의 이유로 모든 도메인의 요청을 허용하는 것은 권장되지 않습니다. 대신, 특정 도메인의 요청만 허용하려면 응답 헤더에 해당 도메인을 명시하면 됩니다.

Access-Control-Allow-Origin: https://example.com

또한, 브라우저는 다양한 종류의 요청에 대해서도 추가적인 정보를 전송하여 서버가 리소스 공유를 적절히 제어할 수 있도록 합니다. 예를 들어, POST 요청을 할 경우, 브라우저는 ‘Access-Control-Allow-Methods’ 헤더를 통해 서버가 허용하는 메소드를 전달합니다. 또한, 서버가 인증을 요구하는 경우, 클라이언트는 ‘Access-Control-Allow-Credentials’ 헤더를 통해 인증 정보를 전달할 수 있습니다.

CORS를 사용하여 브라우저 간에 리소스를 공유할 수 있도록 설정하기 위해서는 서버 측에서 CORS 정책을 구현해야 합니다. 대부분의 서버 프레임워크는 이를 위한 설정 옵션을 제공하므로, 해당 문서를 참조하여 정확한 방식으로 설정할 수 있습니다.