Ну описано примерно верно.
Конкретно со сбером такая атака возможно и не прокатит, но есть множество сайтов которые с простой авторизацией по кукам которые браузеры самостоятельно отправляют при любом запросе. И твоему скрипту их знать совершенно не нужно.
Запрет на доступ по умолчанию защищает в первую очередь такие сайты.
Проверяйте адрес и свой сервер на ноде