Я пытался понять CORS. По моему мнению, это механизм безопасности, реализованный в браузерах, чтобы избежать любого запроса ajax в домене, отличном от того, который был открыт пользователем (указан в URL-адресе)
Теперь из-за этого ограничения многие CORS были реализованы, чтобы веб-сайты могли выполнять запрос на перекрестный поиск. но, согласно моему пониманию, внедрение CORS не соответствует цели безопасности "политики одного и того же происхождения" SOP
CORS просто обеспечивает дополнительный контроль над сервером запросов. Возможно, он может избежать спамеров.
От Wikipedia:
Чтобы инициировать запрос перекрестного происхождения, браузер отправляет запрос с помощью HTTP-заголовок Origin. Значение этого заголовка - это сайт, на котором служил странице. Например, предположим, что страница на http://www.example-social-network.com пытается получить доступ к пользовательским данным в онлайн-альбоме-calendar.com. Если браузер пользователя реализует CORS, будет отправлен следующий заголовок запроса:
Происхождение: http://www.example-social-network.com
Если online-personal-calendar.com разрешает запрос, он отправляет Access-Control-Allow-Origin заголовок в своем ответе. Значение заголовок указывает, какие исходные сайты разрешены. Например, ответ на предыдущий запрос будет содержать следующее:
Access-Control-Allow-Origin: http://www.example-social-network.com
Если сервер не разрешает запрос перекрестного происхождения, браузер приведет к ошибке на странице example-social-network.com, а не ответ онлайн-персональный-calendar.com.
Чтобы разрешить доступ ко всем страницам, сервер может отправить следующий ответ заголовок:
Access-Control-Allow-Origin: *
Однако это может быть неприемлемо для ситуаций, в которых безопасность является проблемой.
Что мне здесь не хватает? какова цель CORS для обеспечения безопасности сервера и защиты клиента.