Почему танец CORS такой сложный?

После нескольких часов работы мне стало интересно, почему спецификация Cross Origin Resource Sharing настолько сложна. Как танец на самом деле улучшает безопасность? Разве не так эффективно просто проверять заголовки ответа, а не делать отдельный запрос ОПЦИИ?

РЕДАКТИРОВАТЬ: Спасибо за ссылку! Возможно, мой вопрос будет более подходящим для Google, поэтому люди чаще находят другой ответ.