Corrigindo, o CORS não é um header. É um mecanismo dos browsers, que utiliza headers para seu controle. Há uma sutil diferença, e é importante deixar claro que ele é valido apenas para browsers, e ignorado completamente em clientes HTTP como curl ou wget, e também pode ser desativado manualmente nos browsers (pelo usuário, jamais pelo site/script)

Boas observações! Acabei gerando essa ambiguidade. Sobre as outras informações eu nem sabia... Já é um aprendizado. Obrigado por compartilhar!

Corrigindo, o CORS não é um header. É um mecanismo dos browsers, que utiliza headers para seu controle. Há uma sutil diferença, e é importante deixar claro que ele é valido apenas para br...