Я пытался понять CORS. Насколько я понимаю, этобезопасность механизм, реализованный в браузерах, чтобы избежать любого ajax-запроса к домену, кроме открытого пользователем (указывается в URL)

Теперь, из-за этого ограничения, многие CORS были реализованы для того, чтобы веб-сайты могли выполнять запросы из разных источников. но, согласно моему пониманию, реализация CORS не поддается цели безопасности "Политика единого происхождения " СОП

CORS просто обеспечивает дополнительный контроль над тем, какой сервер запросов хочет обслуживать. Возможно это может избежать спаммеров.

ОтВикипедия:

Чтобы инициировать перекрестный запрос, браузер отправляет запрос с HTTP-заголовком Origin. Значением этого заголовка является сайт, который обслуживал страницу. Например, предположим, что страница наhttp://www.example-social-network.com пытается получить доступ к пользователюданные в онлайн-personal-calendar.com. Если пользовательВ браузере реализован CORS, будет отправлен следующий заголовок запроса:

Происхождение:http://www.example-social-network.com

Если online-personal-calendar.com разрешает запрос, он отправляет заголовок Access-Control-Allow-Origin в своем ответе. Значение заголовка указывает, какие сайты происхождения разрешены. Например, ответ на предыдущий запрос будет содержать следующее:

Access-Control-Allow-Origin:http://www.example-social-network.com

Если сервер не разрешает запрос перекрестного источника, браузер отправит сообщение об ошибке на страницу example-social-network.com вместо ответа online-personal-calendar.com.

Чтобы разрешить доступ ко всем страницам, сервер может отправить следующий заголовок ответа:

Access-Control-Allow-Origin: *

Однако это может не подходить для ситуаций, в которых безопасность является проблемой.

Что мне здесь не хватает? какова цель CORS для защиты сервера против защиты клиента.