Le specifiche CORS indicano che se un metodo di richiesta e le intestazioni non sono semplici quindi viene inviata una richiesta HTTP OPTIONS di preflight per verificare se la richiesta è consentita dal server.
Il mio server non risponde con intestazioni specifiche CORS, quindi presumo che ciò significhi che la richiesta verrà negata. Recentemente una società di sicurezza mi ha detto che questo significa che la richiesta sarà sempre accettata se non la negherò specificamente con intestazioni CORS, ma trovo difficile crederlo.
Inoltre, alcuni browser più vecchi non implementano CORS affatto, quindi mi chiedo se c'è un buco di sicurezza qui che questi browser potrebbero essere in grado di aggirare il controllo CORS? Oppure questi browser negano sempre tutto?
Riepilogo: non desidero mai accettare richieste di origine incrociata. C'è un buco di sicurezza con il solo pretendere che CORS non esiste?