Почему одна и та же политика происхождения предотвращает чтение ответов GET?

Question

Я провел несколько исследований в Интернете и просмотрел несколько вопросов о SOP и о том, какие злоупотребления он смягчает, но большинство ответов сосредоточено на предотвращении похищенных учетных данных. Это имеет смысл для меня.

Что для меня не имеет смысла, поэтому браузеры, следуя правилам SOP, блокируют ответ прямо, а не блокируют доступ к файлам cookie и локальному хранилищу.

Другими словами, если файлов cookie и локального хранилища не существует, все равно возникнет необходимость предотвратить чтение ответов GET? Предположительно, это уже то, что происходит в некоторой степени с <img>, <script> и .

Answer 1

Согласно Mozilla Developer Network:

Политика общего происхождения ограничивает, как документ или скрипт загружается из одного источника может взаимодействовать с ресурсом из другого происхождения. Это критический механизм безопасности для изоляции потенциально вредоносных документов.

По RFC 6454:

Хотя агенты пользователей группы Юрис в истоках, не каждый ресурс в происхождение несет ту же власть (в смысле безопасности в слово «власть», а не в смысл [RFC3986]). Например, изображение является пассивным контентом и, следовательно, не имеет полномочий, то есть изображение не имеет доступа к объектам и ресурсам, доступным для его происхождения. В отличие от этого, HTML-документ несет в себе все полномочия , а также сценариев внутри (или импортированных) документов может получить доступ к каждому ресурсу по его происхождению.

Чтобы ответить на ваш вопрос, даже если файлы cookie и локальное хранилище не существуют, все равно будет опасно выполнять неизвестный скрипт в контексте документа. Эти скрипты могут выдавать XHR-запросы с тем же IP-адресом, что и авторизованные скрипты, и вести себя плохо.