Я думал, что такое же происхождение не подразумевает CORS, и наоборот. Какая разница между двумя параметрами опции JavaScript Fetch API mode
?
Кроме того, в спецификациях говорится:
Несмотря на то, что режим запроса по умолчанию - "no-cors", стандарты крайне не рекомендуется использовать его для новых функций. Это довольно небезопасный.
Почему это небезопасно? Источник: https://fetch.spec.whatwg.org/#requests