Я думал, что одно и то же происхождение подразумевает отсутствие CORS и наоборот. В чем разница между двумя вариантами для параметра mode
JavaScript Fetch API?
Так же в спецификациях написано:
Несмотря на то, что режим запроса по умолчанию — «без корреспонденции», стандарты крайне не рекомендуют использовать его для новых функций. Это довольно небезопасно.
Почему это небезопасно? Источник: https://fetch.spec.whatwg.org/#requests.