Как я читал, та же самая политика происхождения заключается в том, чтобы запретить сценариям с происхождением в (злом) домене A делать запросы в (хороший) домен B - другими словами, подделка межсайтовых запросов.

Играя немного, я узнал оAccess-Control-Allow-Origin заголовок иCORS который, как я как-то понимаю, позволяет указать серверу из хорошего домена B, что домен A является допустимым источником (а следовательно, не злым). Если этот заголовок отсутствует в междоменном ответе, браузер не будет ничего с него читать, но в любом случае он уже сделал запрос.

Теперь я как-то здесь упускаю смысл. Если домен B имеет API веб-служб и проверку подлинности cookie с пользователем, вошедшим в систему, в принципе любая операция может быть выполнена от имени бедного пользователя злым источником A, просто злоумышленник не увидит ответ.

Что мне здесь не хватает? Где мои рассуждения ошибочны?