标签: javascript html cors
想象一下以下情况。
我恶意地设法使我的横幅广告出现在BankOfSouthernJakku.com上。在此广告中,我提供了一些指向StealMyData.com的JavaScript。由于我拥有StealMyData.com,因此我添加了一个CORS策略,以允许从BankOfSouthernJakku.com访问。
因此,JavaScript将银行应用程序的状态发送到了我的恶意站点。
在这种情况下,CORS如何保护用户?还是我完全误解了CORS的功能?
P.S。我确实读过this和this,但他们没有解决这个特定问题。