(а если нет, действительно ли это улучшает безопасность на стороне клиента?)
Я имею в виду случай, когда сценарий с сервера X использует XHR для получения и запуска ненадежного кода с сервера Y (который поддерживает CORS).
(очевидно, что оценка ненадежного кода - это плохо ™)