Dissecando o Navegador (Parte Final) - O Motor de Segurança, CORS e o Fantasma do OPTIONS

Fala, comunidade dev! 👋 Se você escreve código para a web, com certeza já teve um dia arruinado por um erro em vermelho no console: "Blocked by CORS policy". Nesse momento, a reação natural é xingar o navegador, ir no Back-end e colocar um AllowAnyOrigin() para o erro sumir. Mas para construir sistemas corporativos seguros (como painéis logísticos ou ERPs), você não pode simplesmente desligar o alarme; você precisa entender por que ele tocou. Hoje, na Parte 4 (e última) da nossa série sobre Navegadores, vamos descer ao Motor de Segurança. Vamos entender a Política de Mesma Origem (SOP), como o CORS funciona de verdade e desmistificar aquele request fantasma chamado OPTIONS. 1. A Regra Zero da Web: SOP (Same-Origin Policy) Para entender o CORS, primeiro precisamos entender o mundo sem ele. Imagine que você está logado na sua conta bancária (banco.com.br). Em outra aba, você abre um site de memes malicioso (memes-engracados.com). Se não houvesse segurança, um script JavaScript malicioso