Oi Romulo, realmente nesse exemplo o sistema em questão não está retornando o Status que a gente quer na aba default do navegador.

Dei uma olhada nessa requisição e ela retorna 200 na requisição XHR mas retorna um Json:

{"error":"Cookie missing"}

Que basicamente nos diz que houve um erro. O correto não seria retornar 200 mesmo.

Entretanto, se você der uma olhada na aba 'doc' do seu navegador, você encontrará a resposta 404 de document.

Aproveitei e testei a outra requisição do exercicio:

https://s3.amazonaws.com/caelum-online-public/http/qq.png

E essa realmente retorna o 403 esperado.

Você pode sugerir uma melhoria para esse exercicio aqui =)

Uma forma interessante de testar requisições além de acessar pelo navegador é envia-las manualmente. Tem um software muito legal pra isso chamado postman. Eu executei todos os testes pelo navegador e manualmente. Assim você tem uma base melhor dos resultados do seu teste =)

Abraço e bons estudos.