Я уже публиковал вопрос о CORS, и он был закрыт как дубликат, потому что есть вопрос с ответом, который содержит два слова моего вопроса.Я могу согласиться с тем, что у меня есть некоторые дополнительные вопросы по этому поводу.
Из комментариев в моих предыдущих вопросах я понял, что у CORS есть одно большое преимущество.Если вы отправляете ваш запрос другому источнику (прокси-сервер пересылает ваши данные на реальный хост), ваш браузер не будет отправлять куки «реального» хоста на прокси, так как их домен (источник) отличается.
Я думаю, что это не причина существования CORS (ограничений).Тот факт, что куки не отправляются в источник, от которого они не получены, не имеет ничего общего с той же политикой происхождения.RFC 6265 не упоминает заголовки CORS и является безопасным с запросами перекрестного происхождения.Заголовки CORS не влияют на способ отправки куки.
Тот факт, что Боб (реальный сервер) знает, что запрос не от Алисы (реальный клиент), а от Питера (прозрачный прокси), вызван тем, чтопеченье.Однако Алиса не отправляет куки Боба в Питера не из-за заголовков CORS, а из-за того, как работают куки (домен Peters не соответствует домену Bobs).На самом деле CORS вступает в игру только тогда, когда Алиса получает ответ на ее запрос, будь то от Боба или Питера.Поэтому разрешение неограниченного доступа к ресурсам из разных источников никоим образом не испортит эту защиту.
Поэтому мой вопрос сводится к следующему: есть ли реальная выгода от того, что раздражающий CORS был стандартизирован по сравнению с простым предоставлением доступа к любому ресурсу излюбое происхождение и полагаться на обработку куки для подлинности?