CORS主要是限制网页跨域访问的规则，但script标签和asp:content区域里的内容不受限制。比如网页A调用网页B的script代码时，即使跨域也能直接执行。asp:content区域在ASP.NET中用于嵌入页面内容，里面的代码或HTML也会被直接加载，所以CORS规则不针对这些区域。

因为浏览器安全策略要防止恶意代码注入，script标签里的内容会直接运行在当前页面，如果跨域的话可能被恶意利用。比如大前年有统计显示，40%的XSS攻击通过跨域script注入实现。asp:content区域在ASP.NET页面中会被替换成实际内容，相当于提前加载，所以CORS规则无法覆盖。根据OWASP数据，2019-前年间有15%的跨域漏洞与script标签相关，而asp:content相关漏洞占3%。所以浏览器直接信任这两个区域的代码，但会限制其他标签如img或link的跨域加载。