CORS не препятствует выполнению запроса, за исключением тех случаев когда требуется preflight (например если вы хотите добавить заголовок запроса между сайтами), CORS не дает читать данные ответа. Этого вполне хватает чтобы защититься в случае немодицирующих запросов, но не хватает чтобы защититься в случае модицифирующих запросов, поэтому CORS сам по себе не заменяет CSRF защиту (но можно делать CSRF защиту основанную на CORS, например проверять наличие кастомного заголовка). Если у вас есть AJAX методы которые что-то меняют на сайте (например что-то удаляют) и вы разрешаете их делать через GET или POST request надеясь только на CORS - у вас уже есть уязвимость. Внешний сайт не сможет прочитать ответ, но выполнить запрос он может. Поэтому обычно дополнительно к CORS требуют кастомный заголовок или делают все модицифирующие методы через PUT (PUT и другие методы отличные от GET/POST кроссайтово могут быть сделаны только с префлайтом). Иногда вообще весь API делают через PUT, чтобы не думать о модицифирующих/немодифицирующих запросах и CSRF атаках.
Средний
