https://asnokaze.hatenablog.com/entry/2018/04/10/205717
攻撃を防ぐために、ブラウザの画像デコーダやJavaScriptエンジンがクロスオリジンのリソースを読み込む前にブロックする機能。
呼び出される側が「Access-Control-Allow-Origin: *」の httpヘッダを戻す場合はクロスドメインでもこのブロックにひっかからない。
基本的に無効にすべきでないが、テスト用に例えばchromeの場合は以下引数で起動するとCORBを無視するモードになる。

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-web-security --user-data-dir="C://Chrome dev session"