Fordítva van, a CDN küld olyat, hogy engedi, a legtöbb CDN ezért * értéket küld, például:
Access-control-allow-origin: *
Ezért aztán bárhonnan el lehet érni és be lehet illeszteni az oldalba. Érdemes amúgy használni JS esetén az "integrity" tag-et, amibe hash-t írsz, így ki lehet kerülni a mitm támadásokat.