Является ли CORS безопасным способом выполнения междоменных запросов AJAX?

Прочитав о CORS (совместное использование ресурсов между источниками), я не понимаю, как это повышает безопасность. Междоменная связь AJAX разрешена, если отправлен правильный заголовок ORIGIN. В качестве примера, если я отправлю

ORIGIN: http://example.com

Сервер проверяет, находится ли этот домен в белом списке, и, если он есть, заголовок:

Access-Control -Allow-Origin: [полученный URL здесь]

отправляется обратно вместе с ответом (это простой случай, есть также предварительные запросы, но вопрос тот же).

Это действительно безопасно? Если кто-то хочет получить информацию, подделка заголовков ORIGIN кажется действительно тривиальной задачей. Также в стандарте говорится, что политика применяется в браузере, блокирование ответа, если Access-Control-Allow-Origin неверен. Очевидно, что если кто-то пытается получить эту информацию, он не будет использовать стандартный браузер для ее блокировки.