javascript - 由于 cookie 规则,CORS 标头完全冗余
问题描述
我之前发布了一个关于 CORS 的问题,但由于有一个问题的回复包含我的问题的两个词,所以它已作为副本关闭。我可以接受,但是我对此有一些后续问题。
从我之前问题中的评论中,我了解到 CORS 有一个很大的优势。如果您将请求发送到不同的来源(代理将您的数据转发到真实主机),您的浏览器将不会将“真实”主机的 cookie 发送到代理,因为它们的域(来源)不同。
我认为这不是 CORS(限制)存在的原因。cookie 没有发送到它们不是从其接收的来源这一事实与同源策略无关。RFC 6265 没有提及 CORS 标头,并且对于跨源请求而言是安全的。CORS 标头对 cookie 的发送方式没有影响。
Bob(真实服务器)知道请求不是来自 Alice(真实客户端)而是来自 Peter(透明代理)这一事实是因为 cookie。然而,Alice 没有将 Bob 的 cookie 发送给 Peter,不是因为 CORS 标头,而是因为 cookie 的工作方式(Peters 域与 Bobs 域不匹配)。事实上,CORS 仅在 Alice 收到她的请求的响应时才起作用,无论是来自 Bob 还是来自 Peter。因此,允许不受限制地访问跨源资源不会以任何方式污染该安全性。
所以我的问题归结为:与仅仅允许任何人从任何来源访问任何资源并依靠 cookie 处理来确保真实性相比,令人讨厌的 CORS 标准化有什么真正的好处吗?
解决方案
推荐阅读
- c# - 以编程方式最大化无边框窗口
- swift - Swift 警告:“弱”不应应用于协议中的属性声明
- python - 在numpy中计算两个矩阵的行之间的角度
- php - How to generate increment number for each group of data?
- linux - Understanding awk command usage while passing a file content in it
- javascript - How do i get the "retArr" array out from this firebase collection query function. I want the array values to used for another function
- php - php get_result() function
- python - 需要帮助将 Ruby 函数转换为 Python 函数
- javascript - 我将如何改变它?
- android - Issue related to graphics driver while running an application using the emulator