Здравствуйте, A13x, Вы писали:

A>Не будет, если не разрешать CORS только конкретному сайту/сайтам.

Ок, тогда вопрос по его активации в ASP.NET Core:
Если добавить вот это в конфигурацию Web API:

services.AddCors();
...
app.UseCors(options => options.WithOrigins("http://example.com").AllowAnyMethod());

то запросы начинают проходить, но почему так происходит? Мой сайт не http://example.com, а localhost, значит запросы должны отклонятся, но они почему-то работают. Также никаких Access-Control-Allow-Origin хэдеров через Fiddler не отлавливается, хотя они должны быть?