1
Я понимаю, что политика одного и того же происхождения важна и что веб-серверам необходимо разрешить CORS обойти это, я просто не понимаю, почему серверы не предоставляют разрешения CORS.Почему сервер заботится, разрешает ли CORS для всех запросов?
Если у меня есть что-то вроде API, почему меня интересует, кто, какой сайт или каким образом кто-то запрашивает детали из API?
Вам в основном нужно заботиться только в том случае, если ваш сервер находится за брандмауэром или интрасети, и он защищен только через IP-аутентификацию. Для хорошего объяснения см. Http://stackoverflow.com/questions/34650915/it-seems-the-pre-flight-for-cors-doesnt-make-sense-is-it-a-joke/34668785#34668785 – sideshowbarker