Я немного поработал над работой над политикой перекрестного домена, и теперь я знаю о двух способах, которые будут работать для меня, но я изо всех сил пытаюсь понять, как CORS безопаснее, чем вообще не иметь ограничений на кросс-домен.Как CORS безопаснее, чем никаких ограничений в перекрестном домене? Мне кажется, что его можно использовать злонамеренно.
Как я понимаю, ограничение на кросс-домен было введено на место, поскольку теоретически вредоносный скрипт можно было вставить на страницу, которую пользователь просматривает, что может привести к отправке данных на сервер, который не связан (т. Е. Не тот же домен) на сайт, который пользователь загрузил.
Теперь с функцией CORS, похоже, что это может быть обработано вредоносными ребятами, потому что сам malicous сервер разрешает авторизацию запроса перекрестного домена. Поэтому, если вредоносный скрипт решает отправить данные на вредоносный сервер с набором Access-Control-Allow-Origin: *
, он теперь может получить эти данные.
Я уверен, что я что-то неправильно понял, может кто-нибудь уточнить?
Что такое englobing? – Grezzo
Я имел в виду включение. Извините за мой плохой английский. –