Во-первых, вы должны понимать, как работают сеансы и файлы cookie.Когда на сайт A делается запрос, браузер отправляет все файлы cookie для этого сайта вместе с запросом, который используется для аутентификации сеанса.
Предполагается, что злоумышленник Eve (популярно используемый в кибербезопасности по некоторым причинам), имеющий сайт B хочет получить доступ к сайту A, все, что ему нужно сделать, это просто отправить запрос, пока браузер добавляет файлы cookie A, так как запроссобираюсь в А. Вуаля!Ваш сервер аутентифицирует запрос и у него есть доступ.Этот тип атаки называется Подделка межсайтовых запросов (CSRF)
Теперь вот идет совместное использование межсайтовых запросов (CORS).Это механизм, используемый браузерами для предотвращения CSRF-атак.Прежде чем сделать такой запрос по доменам, они сначала выполняют запрос preflight , который в основном запрашивает у сервера, принимают ли они запросы из данного домена, и какие методы и заголовки HTTP они принимают из такого домена.Если на вашем сервере не настроена CORS (обычно с использованием django-cors ), браузер не будет разрешать междоменные запросы по умолчанию.
Следовательно, вы можете использовать сеансаутентификация, когда ваш клиент и сервер находятся в разных доменах, но вы должны обеспечить , чтобы только ваш клиентский домен был включен в белый список, в то время как запросы из других доменов отклоняются с помощью конфигурации CORS.
Конечно,умнее и злее Ева все-таки может как-то обойти этот механизм, но он по крайней мере обеспечивает базовую и минимальную безопасность вашего сайта