(y si no, ¿realmente mejora la seguridad del lado del cliente?)Con respecto a la seguridad del lado del cliente, ¿CORS hace algo más que subvertir la política del mismo origen?
Estoy pensando en el caso en que un script del servidor X usa XHR para obtener y ejecutar código no confiable del servidor Y (que admite CORS).
(obviamente evaluar código no confiable es malo ™)
Los propios scripts no están sujetos a restricciones entre dominios. Por ejemplo, un script del dominio X puede incluir un script del dominio Y, y el código se ejecutará. Esto se puede hacer con una etiqueta de script normal, sin CORS. – monsur
soy consciente de esto, no creo que ayude a responder la pregunta – adam77