CORS — это механизм, позволяющий страницам из одного домена получать доступ к ограниченным ресурсам (например, шрифтам) другого домена.
Вообще, веб-страница позволяет свободно встраивать различный контент, такой как изображения, скрипты, видео, аудио и пр. Тем не менее, AJAX-запросы и веб-шрифты могут делать запросы только из того же источника, что и сама страница, согласно принципу одинакового источника.
Чтобы избежать этой проблемы, механизм CORS позволяет серверу отмечать такие ресурсы как доступные из других источников при помощи специального заголовка Access-Control-Allow-Origin. Иными словами, если сервер разрешает кросс-доменный запрос с домена http://example.com – он должен добавить к ответу заголовок Access-Control-Allow-Origin, содержащий домен запроса (http://example.com) или разрешить все домены (при помощи звёздочки «*»).
W3C спецификация CORS
Браузеры, поддерживающие CORS
Инструкция для использования CORS на сервере.