Se un utente malintenzionato può controllare l'intestazione Access-control-allow-origin, può eseguire attacchi molto peggiori piuttosto che modificare questo elemento di intestazione. Ad esempio un attaccante potrebbe effettuare un attacco Man in the Middle, ma i token di autenticazione, come i cookie, sono un bersaglio più desiderabile.
Un utente malintenzionato potrebbe introdurre la propria intestazione access-control-allow-orign utilizzando la funzione HTTP Response Splitting, ma a questo punto possono controllare l'intestazione e il corpo. Un "allow-orign" non aiuta con l'intera politica Same-Origin è compromessa da una vulnerabilità XSS.