Одинаковая политика происхождения и CORS (совместное использование ресурсов из разных источников)
Я пытался понять CORS. Насколько я понимаю, этобезопасность механизм, реализованный в браузерах, чтобы избежать любого ajax-запроса к домену, кроме открытого пользователем (указывается в URL)
Теперь, из-за этого ограничения, многие CORS были реализованы для того, чтобы веб-сайты могли выполнять запросы из разных источников. но, согласно моему пониманию, реализация CORS не поддается цели безопасности "Политика единого происхождения " СОП
CORS просто обеспечивает дополнительный контроль над тем, какой сервер запросов хочет обслуживать. Возможно это может избежать спаммеров.
Чтобы инициировать перекрестный запрос, браузер отправляет запрос с HTTP-заголовком Origin. Значением этого заголовка является сайт, который обслуживал страницу. Например, предположим, что страница наhttp://www.example-social-network.com пытается получить доступ к пользователюданные в онлайн-personal-calendar.com. Если пользовательВ браузере реализован CORS, будет отправлен следующий заголовок запроса:
Происхождение:http://www.example-social-network.com
Если online-personal-calendar.com разрешает запрос, он отправляет заголовок Access-Control-Allow-Origin в своем ответе. Значение заголовка указывает, какие сайты происхождения разрешены. Например, ответ на предыдущий запрос будет содержать следующее:
Access-Control-Allow-Origin:http://www.example-social-network.com
Если сервер не разрешает запрос перекрестного источника, браузер отправит сообщение об ошибке на страницу example-social-network.com вместо ответа online-personal-calendar.com.
Чтобы разрешить доступ ко всем страницам, сервер может отправить следующий заголовок ответа:
Access-Control-Allow-Origin: *
Однако это может не подходить для ситуаций, в которых безопасность является проблемой.
Что мне здесь не хватает? какова цель CORS для защиты сервера против защиты клиента.