... except MITM and CORS attack
Non sono sicuro di quale attacco CORS fai riferimento, ma suppongo che tu intenda gli attacchi possibili con una configurazione CORS eccessivamente ampia (permissiva).
Oltre a questi, l'utente malintenzionato potrebbe ottenere l'accesso alla risposta HTTP se può eseguire codice sul client con l'origine del dominio di destinazione (o qualsiasi altro CORS lo consenta in aggiunta). Questo può essere fatto per esempio tramite XSS (cross-site scripting) ma anche compromettendo qualsiasi server dal quale il client include script nella pagina originale (come pubblicità o server di tracciamento) e modificando lo script servito da questo server.
E poi ci sono WebSocket che non hanno alcuna politica di origine identica. A meno che il server WebSocket del dominio specifico controlli esplicitamente e correttamente il Origin
di un utente malintenzionato potrebbe semplicemente creare una connessione WebSocket al dominio specifico all'interno di un JavaScript sul proprio sito, fare visitare la vittima al sito e quindi comunicare con il server WebSocket con le informazioni di autenticazione esistenti (come il cookie di sessione) del client - vedi Cross-Site WebSocket Hijacking (CSWSH) .