Попытка понять, как должен работать веб-API CORS.Web API - Как работает CORS
Если у меня есть служба веб-API по адресу abc.com/api/MyService, не следует ли устанавливать параметры веб-API по умолчанию, чтобы домены, кроме abc.com, не обращались к этой службе?
Например, если услуга вызывается через SoapUI на удаленной машине, не следует ли создавать междоменную ошибку?
CORS - разрешить/запретить JavaScript-код, выполняемый на странице, отображаемой браузером, для доступа к сервису из другого домена.
Любые другие способы вызова службы, которая поддерживает CORS, будут продолжать работать по-прежнему. Действительно, может быть какой-то пользовательский код, который проверяет заголовки CORS, но проверка заголовков CORS очень необычна для приложений, так как большинство из них не имеют same origin policy, применяемых браузерами.
Итак, в вашем случае похоже, что вы используете инструмент, который не имеет ограничений «одного и того же происхождения» и, таким образом, не затрагивается заголовками CORS.