fetch とかでリクエスト送った時に別のサーバだからクロスオリジン制限でエラーになっててもブラウザ内へ外部リソースを持ってこれないだけで サーバへの送信自体は完了してる
ブラウザ上でエラーになってても サーバでは内容を見れてる

なんとなくセキュリティ的に不安を感じなくもないけど トークンとかセッション ID をこっそり送る用途なら送り先のサーバも攻撃する側が管理してるはず
サーバでクロスオリジンを許可すればエラーもなく通信できるんだから ここに制限つけてもセキュリティ効果なし