Что касается безопасности на стороне клиента, делает ли CORS что-либо, кроме подрыва политики одного и того же происхождения?

(а если нет, действительно ли это улучшает безопасность на стороне клиента?)

Я имею в виду случай, когда сценарий с сервера X использует XHR для получения и запуска ненадежного кода с сервера Y (который поддерживает CORS).

(очевидно, что оценка ненадежного кода - это плохо ™)