Contexte : Une API publique autorise toutes les origines via une configuration CORS permissive. Le Problème : La configuration actuelle permet à n’importe quel domaine d’interagir avec l’API. Code actuel : app.use(cors({ origin: "*" })); Contraintes : Restreindre l’accès aux domaines autorisés sans bloquer les clients légitimes. Livrable attendu : Proposer une configuration CORS sécurisée limitant explicitement les origines autorisées.