Pour moi si on te demande une appli Web qui cible une Api, l'api doit être accessible évidemment sinon ça n'a pas trop de sens.

Sinon comment tu as pu tester ton appli avec le problème de CORS ? Tu n'as pas détecté le problème avant la livraison ?

Pour te proposer une solution simple, Si ton appli est en JS tu peux rajouter un proxy à ton backend (node-http-proxy par exemple), comme ça ton front appel ton backend qui est sur le même domaine, et ton backend forward les appels à l'api de ton client => pas de problème de CORS

Ça répond pas vraiment à ta question d'un point de vue contractuel mais c'est rapide à faire si tu veux tenter...