Security 允许CORS提供错误消息？

假设您有一个主要由其他来源的浏览器使用的API。 每个客户在API上都有自己的子域，即so.API.service.com

该服务允许客户定义应允许哪些来源执行CORS请求。 当具有允许来源的浏览器执行请求时，服务器会响应预期的访问控制允许来源标头，该标头设置为与来源请求标头相同的值

当浏览器执行来自不允许的源站的请求时，处理该请求的常用方法是使用403响应请求，而不指定Access Control Allow origin标头，这将导致浏览器触发请求错误。但是，浏览器不会公开错误是由缺少CORS头导致的任何信息（尽管它通常会在控制台中记录有用的错误）

这使得很难通过编程方式显示有用的“不允许此来源，请配置”-消息，因为似乎没有可靠的方法来确定错误是由wifi故障、网络错误还是无效/缺少CORS配置引起的

我的问题是,；当服务器检测到不应允许的源站时，它是否可以使用403并包含CORS头以允许浏览器读取错误，而不是使用没有CORS头的响应

由于每个请求都在API上经过这个过程，我认为这应该是安全的，但我可能忽略了一些东西。想法