Se você não enviar a solicitação do código JavaScript de frontend em um aplicativo Web, a solicitação será bem-sucedida. O navegador obtém a resposta independentemente - mas o navegador é o único ponto de imposição para restrições em solicitações de origem cruzada. Se uma resposta não tiver um cabeçalho de resposta Access-Control-Allow-Origin , o navegador será o ponto no qual ela será bloqueada, mas o navegador só restringirá a capacidade do código JavaScript XHR / Fetch de acessar a resposta. Caso contrário, você ainda poderá ver a resposta em devtools do navegador e se carregar o URL de solicitação na barra de endereço do navegador ou usar o URL de solicitação como o valor href ou src em sua origem HTML.