Mientras leo, la misma política de origen se trata de evitar que las secuencias de comandos con origen en el dominio (malvado) A hagan solicitudes al dominio (bueno) B, en otras palabras, falsificación de solicitudes entre sitios.

Jugando un poco aprendí sobreAccess-Control-Allow-Origin encabezado yCORS que, como entiendo de alguna manera, permite especificar al servidor del buen dominio B que el dominio A es un origen permitido (por lo tanto, no es malo). Si este encabezado no está presente en la respuesta entre dominios, el navegador no leerá nada de él, pero ya ha hecho una solicitud de todos modos.

Ahora, de alguna manera me estoy perdiendo el punto aquí. Si el dominio B tiene una API de servicios web y la autenticación de cookies con el usuario que está iniciando sesión, básicamente el malvado A puede realizar cualquier operación en nombre del usuario pobre, solo el atacante no verá la respuesta.

¿Que me estoy perdiendo aqui? ¿Dónde está mi razonamiento defectuoso?