Ese párrafo está escrito tersamente, y el uso de "redirecciones a otro recurso en un nuevo origen" en la primera oración no es del todo correcto.
Aquí hay un simple ejemplo artificial. Digamos que es malicioso, y hay una aplicación web que utiliza los servicios de una API privilegiada a través de CORS, por lo que la API privilegiada confía en el origen de la aplicación web. Y digamos que desea obtener acceso a los datos detrás de esa API privilegiada, pero su Origen, por supuesto, no es confiable.
Usted crea un servicio simple y útil que ofrece a través de CORS y obtiene la aplicación web para incluir su servicio en una página, cualquier página, bajo su Origen de confianza. Esa página no necesita acceder a la API privilegiada.
(Por supuesto, una vez que estés en la página de tu víctima, puedes hacer lo que quieras, pero ten paciencia.)
Si decide cambiar su servicio CORS de emitir un 200 con algunos datos para emitir un 3xx a los dominios de recursos de cruce de API privilegiados, esto crea un problema de confianza.
La API privilegiada confiará en el origen real, la página que incrustó su recurso. Pero no emitió la solicitud, y puede que no quiera estar hablando con la API privilegiada en este momento en particular.
En su lugar, emitió el redireccionamiento y, aunque en parte es confiado por el Origen, la API privilegiada no lo confía. Si el navegador sigue su 3xx y lo envía a lo largo del Origen, tiene la certeza de que cuenta con la confianza otorgada por la API privilegiada al Origen.
¿Qué es el navegador para hacer? Una respuesta razonable es no seguir el 3xx en absoluto, pero eso no permitiría los casos de uso para los cuales la confianza no es una preocupación. La emisión de la solicitud con un Origen "nulo" permite esos casos de uso, pero evita la explotación de la confianza que permitiría el envío a lo largo del encabezado de Origen original.