Sto specificando un'API per un servizio REST. Il servizio REST verrà utilizzato principalmente dai browser Web che utilizzano richieste XHR eseguendo codice ospitato da origini remote. Pertanto, dovrò aggiungere il supporto CORS, come l'intestazione Access-Control-Allow-Origin per consentire XSS.
Devo aggiungere intestazioni CORS a risposte non 200, come 400, 401 e 5xx?