안녕하세요.
CORS는 구현하신 프론트서버(react)와 백앤드(Spring) 간 도메인이 다르기에 브라우저에서 발생시키는 것으로 백엔드측 Access-Control-Allow-Origin 설정을 통해 해결하실수 있습니다.
문의 주신 내용을 보면 카카오에서 획득한 access/refresh token을 프론트(브라우저)로 전달하고자 하는 것으로 이해 되는데요
일반적으로 jwt에 이러한 민감 정보를 담아 프론트로 전달하지 않습니다.
사용자의 접근토큰은 백앤드에서만 취급하는 것을 권장 드립니다.