Stai mescolando le cose. CORS non intende proteggere la tua applicazione da richieste http predisposte , ma è pensata per proteggerti da un certo tipo di attacchi che "rubano" i cookie o i token di accesso dell'utente, controllando quali siti possono accedere alla tua risorsa .
Viene principalmente utilizzato per proteggere il server / l'applicazione dalla falsificazione di richieste cross-site, in cui un sito dannoso eseguirà una richiesta per conto dell'utente, possibilmente con intenti malevoli (modifica delle credenziali, trasferimento di denaro ...), sfruttando il Infatti, il browser invierà qualsiasi cookie di accesso e di sessione ancora vivo e valido per il tuo sito.
Se CORS è configurato correttamente, la richiesta Ajax del sito dell'aggressore verrà rifiutata, in quanto, per impostazione predefinita, accetterà solo richieste dallo stesso sito.
Questo NON significa che non dovresti disinfettare i tuoi input , e ti protegge solo da un certo tipo di attacchi CSFR. Se l'utente malintenzionato ottiene i cookie / i token di accesso dell'utente, gli sarà comunque garantito l'accesso, ed è per questo che la maggior parte dei processi di autenticazione dovrebbe utilizzare SSL come ulteriore livello di protezione.
PS: questo presuppone che il browser utilizzato dall'utente sia aggiornato, non abbia difetti e stia rispettando la stessa politica di origine.
MODIFICA: come per le richieste di verifica preliminare, questa è una misura aggiuntiva per garantire che al sito venga concesso l'accesso e non per tutte le richieste di origine incrociata