Ich glaube, dass ich CORS und seine Motivationen endlich groke.Warum fragt CORS neue Domain und nicht ursprüngliche Domain?
Kurz gesagt, ich verstehe, dass ein Skript aus Ursprung original.com eine Ressource vonother.com-Anfrage versuchen, potenziell riskant ist (für alle Parteien: Benutzer, original.com und andere. com) aufgrund von Informationslecks; das ist die Motivation hinter CORS. Meine Frage ist nicht darüber.
CORS Mandate, die other.com entscheidet sich-in/stimmt von den Skripten auf die Anforderung, die von original.com stammt.
Es dauerte eine Weile, um zu grok, weil ich eine gewisse Intuition hatte, gegen die ich mich wenden musste. Meine Intuition war, dass es sein sollte original.com (und nichtother.com), die die Cross-Origin-Anfrage aktivieren/zustimmen musste.
Die Linie war zu denken, dass original.com die Domäne ist, dass der Benutzer vertraut (immerhin Benutzer original.com in erster Linie ging). Daher sollte der Browser (Vollstrecker von CORS) jedem trauen, dem der Benutzer vertraut.
z.B.
Wenn original.com sagt other.com, ads.com und/oder tracker.com dann gehen Sie vor und lassen Sie Anfragen an ihnen zu vertrauen. Aber wenn anschließend ads.com ein Skript gibt, die etwas von shadows.com fordert (den original.com hat nicht Vertrauen) dann blockieren.
Derzeit verursacht CORS der Browser shadows.com zu fragen, ob es eine Anfrage von original.com akzeptiert. Und ich stelle mir shadows.com vor, um ein Bösewicht in einem Ledersessel zu sein, der sagt "warum ja, absolut"> :).