ajax – CORS如何比没有跨域限制更安全？在我看来,它可以被恶意

我现在明白这与防止发送数据无关,更多的是与防止未经授权的操作有关.

例如：您登录的网站(例如社交网络或银行)可能会在您的浏览器中打开受信任的会话.如果您随后访问了一个狡猾的网站,他们将无法使用您登录的网站执行跨站点脚本攻击(例如,发布垃圾邮件状态更新,获取个人详细信息或从您的帐户转移资金),因为跨域限制政策.他们能够执行跨站点脚本攻击的唯一方法是,如果浏览器没有启用跨站点限制,或者社交网络或银行已实施CORS以包含来自不受信任域的请求.

如果一个站点(例如银行或社交网络)决定实施CORS,那么他们应该确保它不会导致未经授权的操作或未经授权的数据被检索,但是像新闻网站内容API或雅虎管道这样的东西没什么可失去的通过启用CORS *