在服务器端配置 CORS 应该遵循哪些原则？

不幸的是，来自 Wikipedia 的规范定义并没有让我深入了解 CORS 是什么，以及这项技术的存在需要我采取哪些实际行动。但是在学习 NodeJS 中的服务器端编程的一开始，我就不得不处理这个问题。

在客户端，我有以下测试代码，从中可以清楚地看出服务器正在1337本地主机端口上运行：

fetch("http://localhost:1337/api/products").
  then(async(response: Response): Promise<unknown> => {
    console.log(response);
    return response.json();
  }).
  then((parsedJSON: unknown): void => {
    console.log(parsedJSON);
  }).
  catch((error: Error): void => {
    console.error(error);  
});

同时，另一个静态服务器负责在应用程序的新版本运行时重新加载浏览器页面3000。在这里，HTTPNodeJS 模块将在这种情况下响应尝试发送请求http://localhost:1337/api/products：

Access to fetch at 'http://localhost:1337/api/products' from origin 'http://localhost:3000' 
has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the 
requested resource. If an opaque response serves your needs, set the request's mode to 
'no-cors' to fetch the resource with CORS disabled.

对技术的实际理解开始从这条信息中建立。我相信，如果在生产中服务器为主机服务example.com，那么请求将是"http://example.com/api/products"。在这里，据我了解，服务器不高兴他http://localhost:3000在服务时收到了请求http://localhost:1337。

我确信可以以一种或另一种方式禁用此检查，但即使在本地开发环境中，出于安全原因最好不要这样做。我想大多数时候我们不希望请求来自任何地方。这就引出了一个问题：在服务器端应该按照什么原则来配置CORS？

如果你的语言不是 NodeJS 也没关系，我对这个概念很感兴趣，我会负责它在 NodeJS 中的实现。