Почему больше провайдеров oEmbed не включили междоменный обмен ресурсами на своих конечных точках?

Question

Кажется, что в большинстве, если не во всех конечных точках провайдера oEmbed не включена функция CORS.Это означает, что мне нужно использовать JSONP (для тех, кто его поддерживает) или пройти через прокси-сервер, чтобы использовать oEmbed.

Существует корпоративная политика против использования JSONP от сторонних поставщиков, но я все еще хочуиспользовать oEmbed исключительно на стороне клиента (для определенных поставщиков, которым мы доверяем).Я понимаю последствия для безопасности ПОТРЕБИТЕЛЯ oEmbed и почему они могут не захотеть разрешить стороннюю разметку непосредственно на своих страницах, но почему провайдеры ограничивают это?Я мог бы так же легко иметь уязвимости XSS, если бы я создал прокси-сервер сервера и не фильтровал результаты.

Answer 1

Просто угадать:

Это может быть связано с предполетными запросами. Спецификация CORS гласит, что клиент должен отправлять дополнительный запрос OPTION во многих случаях (в основном, для чего-либо, кроме базовых GET или POST).Это означает, что на стороне сервера вы удвоите свои входящие запросы, просто указав CORS , и, возможно, такая дополнительная нагрузка будет неприемлемой.