Есть несколько плагинов, но большинство из них работает таким образом:
Это позволяет вам запрашивать любой сайт с ajax из любого источника.Он просто добавляет к ответу заголовок «Allow-Control-Allow-Origin: *».
Более того disable cors использует эту технику:
Переписывает Access-Control-Allow-Originзаголовок, чтобы иметь значение заголовка источника.Другими словами, браузеру кажется, что сервер занес в белый список именно тот сайт, на котором вы находитесь.
Они сказали:
Это лучше, чем Access-Control-Allow-Origin: * (подход, принятый CORS Toggle), поскольку Access-Control-Allow-Origin: * не разрешен для запросов, использующих учетные данные (общий случай для API).