私が理解している限り、CORS は発信者が誰であるかを本当に確認できる方法であなたを正確に保護することはできません。発信者は任意の ORIGIN ヘッダーを送信できるためです。実際、オリジンヘッダーは制限されたヘッダーであるため、javascriptを介して設定できないことをどこかで読みましたが、それについてはよくわかりません。とにかく..独自の HttpClient を実装すると、元のヘッダーを簡単に偽造できるため、消費するはずのないサービスを消費する可能性があります。
次に、Origin ヘッダーが指定されていない場合でも、リクエストは機能します。たとえば、Google Chrome の Postman Extension を使用していますが、オリジン ヘッダーは送信されません。実際、手動で追加しようとしても、ネットワーク経由で送信されません。
したがって...