DEBUG FLOW

CORS 디버깅은 브라우저 관점에서 추적한다

네트워크 탭에서 preflight와 실제 요청을 분리해 보고, 서버 응답 헤더와 쿠키 정책을 순서대로 확인한다.

browserserver headercookie policy

01Origin 확인scheme, host, port가 기대한 출처와 같은지 본다.

02Preflight 확인OPTIONS가 실패했는지, 실제 요청이 실패했는지 분리한다.

03Allow 헤더 확인Origin, Methods, Headers, Credentials 값이 요청과 맞는지 본다.

credentials 요청

Access-Control-Allow-Origin: *와 함께 쓸 수 없다.

쿠키가 안 붙음

fetch(..., { credentials: "include" }), SameSite=None; Secure, 도메인·경로를 함께 확인한다.

캐시된 CORS 응답

Origin별 응답이면 Vary: Origin 누락 여부를 본다.