javascript - 由于 cookie 规则，CORS 标头完全冗余

问题描述

我之前发布了一个关于 CORS 的问题，但由于有一个问题的回复包含我的问题的两个词，所以它已作为副本关闭。我可以接受，但是我对此有一些后续问题。

从我之前问题中的评论中，我了解到 CORS 有一个很大的优势。如果您将请求发送到不同的来源（代理将您的数据转发到真实主机），您的浏览器将不会将“真实”主机的 cookie 发送到代理，因为它们的域（来源）不同。

我认为这不是 CORS（限制）存在的原因。cookie 没有发送到它们不是从其接收的来源这一事实与同源策略无关。RFC 6265 没有提及 CORS 标头，并且对于跨源请求而言是安全的。CORS 标头对 cookie 的发送方式没有影响。

Bob（真实服务器）知道请求不是来自 Alice（真实客户端）而是来自 Peter（透明代理）这一事实是因为 cookie。然而，Alice 没有将 Bob 的 cookie 发送给 Peter，不是因为 CORS 标头，而是因为 cookie 的工作方式（Peters 域与 Bobs 域不匹配）。事实上，CORS 仅在 Alice 收到她的请求的响应时才起作用，无论是来自 Bob 还是来自 Peter。因此，允许不受限制地访问跨源资源不会以任何方式污染该安全性。

所以我的问题归结为：与仅仅允许任何人从任何来源访问任何资源并依靠 cookie 处理来确保真实性相比，令人讨厌的 CORS 标准化有什么真正的好处吗？

标签： javascripthttpcookiescors