我之前已经发布了一个有关CORS的问题,它被重复了,因为有一个问题包含一个包含我的问题的两个单词的答复。我可以接受,但是对此还有一些后续问题。
从我之前的问题中的评论中,我了解到CORS具有一个很大的优势。如果将请求发送到其他来源(将数据转发到真实主机),则浏览器将不会将“真实”主机的cookie发送到代理,因为它们的域(来源)不同。
我认为这不是CORS(限制)存在的原因。 Cookie不会发送到未从其接收的来源这一事实与相同的来源策略无关。 RFC 6265没有提到CORS标头,并且对于跨源请求是安全的。 CORS标头对cookie的发送方式没有影响。
Bob(真实服务器)知道请求不是来自Alice(真实客户端),而是来自Peter(透明代理),这一事实是由于cookie。但是,Alice并非将Bob的cookie发送给Peter并不是因为CORS标头,而是因为cookie的工作方式(Peters域与Bobs域不匹配)。实际上,CORS仅在爱丽丝收到来自鲍勃或彼得的请求响应时才起作用。因此,允许不受限制地访问跨源资源不会以任何方式破坏该安全性。
所以我的问题归结为: 与仅允许任何人从任何来源访问任何资源并依靠cookie处理来确保真实性相比,烦人的CORS标准化是否有任何真正的好处?