面试的时候被问到CORS安全性问题，没答上来，想请教下大家。
CORS在服务器端设置了Access-Control-Allow-Origin，不设定为*，不是只有指定的域才能发起请求吗，否则就被浏览器拦截了呀，有看到说http头可以伪造，但是手动设置Origin也会被浏览器阻止，请问CORS的漏洞到底在哪儿？有什么解决方案？谢谢