Qual è la differenza tra "same-origin" e "no-cors" per l'API Fetch di JavaScript?

Question

Ho pensato che la stessa origine non implica CORS, e viceversa. Qual è la differenza tra le due opzioni per l'opzione mode dell'API Fetch di JavaScript?

Inoltre, nelle specifiche, si dice:

Anche se la modalità di richiesta di default è "no-cors", gli standard sono altamente sconsigliato di utilizzarlo per nuove funzionalità. È piuttosto non sicuro.

Perché non è sicuro? Fonte: https://fetch.spec.whatwg.org/#requests

Answer 1

Con same-origin è possibile eseguire richieste solo all'origine, altrimenti la richiesta determinerà un errore.

Con no-cors, è possibile eseguire richieste ad altre origini, anche se non impostano le intestazioni CORS richieste, ma si otterrà un opaque response.

Ulteriori informazioni su MDN: https://developer.mozilla.org/en-US/docs/Web/API/Request/mode e https://developer.mozilla.org/en-US/docs/Web/API/Response/type.