Jeśli chodzi o proponowany atak: żeby wykraść cookie po stronie przeglądarki, muszą one być dostępne z poziomu JS. Odpowiednie przygotowanie ciastek (HTTPS only + Same-Site) de facto eliminują możliwość odczytania ich po stronie JS. Dodatkowo można kontrolować, czy cookies są wysyłane dla żądań CORS--owych. Do tego dochodzi samo zabezpieczenie sesji przez choćby regenerowanie przy każdym żądaniu id sesji i sprawdzanie jej spójności (IP usera, przeglądarka itp. itd.). Takie ataki są wbrew pozorom trudne do przeprowadzenia dla dobrze zabezpieczonych stron WWW.
A co do CORS na poziomie serwer-serwer: nie miałoby to sensu, bo CORS to zabezpieczenie wynikające z modelu Same Origin. A ten na serwerze nie miałby racji bytu.