Я пытаюсь понять, почему CORS работает так, как работает.Понимание AJAX CORS и соображения безопасности
Как я узнал из this post, когда страница из www.a.com делает запрос AJAX к www.b.com, то это www.b.com, который решает, если запрос должен быть разрешен или не.
Но что конкретно защищено на клиенте в такой модели? Например, если хакеру удалось выполнить инъекцию скрипта XSS на мою страницу, он делает запрос AJAX в своем домене для хранения пользовательских данных. Таким образом, домен хакера позволит такой запрос точно.
Я думал, что www.a.com должен решить, к каким доменам разрешить запрос. Итак, теоретически в заголовке Access-Control-Allow-Origin Я хотел бы разместить весь список доменов, разрешенных для запросов AJAX CORS.
Может ли кто-нибудь объяснить, какие проблемы безопасности выполняет текущая реализация CORS?
Да, это правильно, домен, обслуживающий данные (саамы), может перечислить его «разрешенные» домены. (ACAO). После этого SaaS несет ответственность за обеспечение безопасности запросов (посредством регулярного «веб-сервера» - средства для очистки строк, улов DSA и т. Д.), –