È possibile inviare richieste GET e POST su più domini anche se la destinazione non utilizza CORS, ma esistono alcune restrizioni. Soprattutto, non puoi leggere la risposta . Questa restrizione è incorporata nei browser come parte del Single Origin Policy (SOP) e protegge dai dati che perdono tra i domini. Tuttavia, ti impedisce anche di pubblicizzare un'API che può essere letta da qualsiasi dominio.
CORS ti offre la possibilità di rimuovere tale restrizione, consentendo cioè al dominio che ospita l'API di annunciare ai browser che consente le chiamate interdominio da tutti o da alcuni domini. Quindi non direi che CORS protegge da una specifica vulnerabilità. Piuttosto, ti permette di aprire la tua API: s fino al mondo. Non avere affatto una politica CORS sarà sempre l'opzione più restrittiva.
Per maggiori informazioni su CORS, ti consiglio Mozilla e Rocce HTML5 .