来自RFC6265第8.2节:
使用Cookie对用户进行身份验证的服务器可能会受到安全保护 漏洞,因为一些用户代理让远程方发布 来自用户代理的HTTP请求(例如,通过HTTP重定向或HTML 形式)。发出这些请求时,用户代理甚至会附加cookie 如果远程方不知道cookie的内容, 可能让远程方在不知情的情况下行使权力 服务器
在试图理解SOP时,很明显是这种情况,但我无法找到解决这种情况的原因。即使请求来自不同且可能是恶意的来源B,通过盲目地将每个请求的所有cookie附加到原始A来赋予哪些好处?
答案 0 :(得分:0)
嗯,一开始可能看起来很奇怪,也许这不是最好的主意,但在大多数情况下这不应该是一个问题:
请求的响应被SOP阻止,因此无论如何都没有泄露任何信息
POST请求(以及任何状态改变请求)应该受到CSRF保护方法的保护
另外,如果浏览器没有这样的行为,那么具有宽松CORS规则的服务器将无法正常运行。