Esiste una stessa politica di origine nel browser per garantire che ad es. cattivo sito non leggerà i tuoi dati da Facebook. Ma sembra che l'unico problema che cerca di risolvere è che i cookie vengono automaticamente inviati con la richiesta che autentica l'utente (+ forse alcuni altri schemi di autenticazione come base o forse certificato).
Quindi la mia domanda è: avremmo davvero bisogno di questa politica se il browser non inviasse automaticamente tutti i dettagli dell'autenticazione HTTP e i cookie con questa richiesta?
Forse il modo migliore è quello di consentire l'origine incrociata per impostazione predefinita, ma assicurarsi che queste informazioni (cookie, http auth) non vengano trasferite. In ogni caso, ora possiamo produrre API basate su token, ad es. e così via se è necessaria una richiesta cross-site. E un chiamante di parti 3d dovrebbe ottenere un token allo stesso modo in modo da non richiedere CORS.