Recentemente ho saputo di CORS e ho ottenuto impressione che il suo scopo è quello di prevenire l'XSS . Con CORS, il browser blocca le richieste a diversi domini, a meno che non siano presenti specifiche intestazioni .
Ma se una persona malintenzionata inietta un codice JavaScript in una pagina per rubare i cookie degli utenti e inviarli a un URL che controlla, tutto ciò che deve fare è aggiungere la seguente intestazione sul lato server per far funzionare la richiesta comunque :
Access-Control-Allow-Origin: *
Quindi, in che modo CORS previene l'XSS? O ho frainteso lo scopo di CORS, e semplicemente non ha nulla a che fare con XSS di per sé?