Per quanto ho capito, esiste lo stesso criterio di origine per impedire richieste autenticate da altre origini.
Quindi quando un cattivo crea un sito malvagio che tenta di dirottare l'autenticazione attiva dei miei clienti per manipolare o rubare dati sul mio server, il mio server può dire al browser del mio cliente che il mio server non accetterà le richieste attivate da l'origine del sito malvagio.
Ma mi chiedo perché il browser proibisca (SOP) tutte le richieste interdominio quando il server ricevente non risponde con le intestazioni CORS corrette.
Domanda: Non dovrebbe essere sicuro lasciare che il browser invii richieste di "conoscenza zero" senza i dati di autenticazione, i cookie, ecc. che conosce da precedenti incontri con il dominio? Come in modalità browser in incognito / anonimo o arricciatura con un nuovo file cookie?
In questo modo le comunicazioni tra domini continuerebbero a funzionare per i server senza intestazioni CORS e i browser impedirebbero comunque qualsiasi pirateria di autenticazione.