オリジン間リソース共有 (CORS)

ウェブアプリケーションの安全を守るため、アクセス元のサーバ以外からのアクセスを制限するクライアントサーバ間の仕組みとは？

同一オリジンポリシー - ウェブセキュリティ | MDN

プロトコルが異なる、ポートが異なる、ホスト名が異なる

サーバーは Access-Control-Allow-Origin: * を返しており、これはそのリソースがすべてのドメインからアクセスできることを意味します。

サーバーが返すAccess-Control-Allow-Origin: *

Access-Control-Allow-Origin - HTTP | MDN

Express cors middleware

django-cors-headers

プリフライトで安全なサーバかどうか確認する