Чем CORS безопаснее, чем отсутствие междоменных ограничений? Мне кажется, что его можно использовать злонамеренно

Я немного почитал о работе с междоменной политикой и теперь знаю два способа, которые мне подойдут, но я изо всех сил пытаюсь понять, почему CORS безопаснее, чем полное отсутствие междоменных ограничений. .

Насколько я понимаю, междоменное ограничение было введено, потому что теоретически вредоносный скрипт мог быть вставлен на страницу, которую просматривал пользователь, что могло привести к отправке данных на сервер, который не связан (т.е. не того же домена) на сайт, который пользователь специально загрузил.

Теперь, когда используется функция CORS, злоумышленники могут обойти эту проблему, потому что сам вредоносный сервер может авторизовать междоменный запрос. Таким образом, если вредоносный скрипт решит отправить данные на вредоносный сервер с установленным Access-Control-Allow-Origin: *, он сможет получить эти данные.

Я уверен, что я что-то неправильно понял, кто-нибудь может пояснить?