فکر می کنم شما اشتباه می فهمید که CORS از کجا و چرا استفاده می شود. برای جلوگیری از تماس اسکریپت به سرور غیر قابل اعتماد (با عنوان [ Access-Control-All-Origin: برای مثال [* عنوان)) در نظر گرفته نشده است ، زیرا این اغلب مورد استفاده معتبری است. خط مشی پیش فرض ، محدود کننده حتی نمی تواند داده ها را ارسال کند. حتی بدون آن سرصفحه از سرور ، مشتری می تواند داده های دلخواه را ارسال کند که توسط سرور دریافت می شود.

در اینجا مثالی است که خط مشی پیش فرض مفید است:

بگویید که شما یک وب سایت اینترانت دارید که اطلاعات حساس شرکت را ارائه می دهد. یک مهاجم می داند که وب سایت وجود دارد ، و برخی از درخواست های AJAX با منشاء متقابل را در جاوا اسکریپت انجام داده است تا در صورت مرور هر کاربر شرکت به وب سایت تحت کنترل مهاجم ، داده ها را از وب سایت جدا کند. وقتی این اتفاق بیفتد ، جاوا اسکریپت به سرور اینترانت دسترسی پیدا می کند ، اما به دلیل عدم وجود هدر Access-Control-Allow-Origin . سرپیچی از هرگونه اطلاعاتی امتناع می ورزد.

وارد وب سایت رسانه های اجتماعی شده و می خواهید گپ های خصوصی شما را بخوانید. مهاجم با استفاده از درخواستهای مبداء متقابل هنگام مراجعه به وب سایت خود ، برخی از جاوا اسکریپت را ارسال می کند تا پیام هایی را از هر کاربر که وارد آن شده است بگیرد. این نیز بدون هدر فوق الذکر جلوگیری می شود.

در هر دو سناریو ، مهاجمان نمی توانند داده های مبداء متقابل را بخوانند زیرا وب سایت های هدف دارای عنوان لازم برای استراحت این سیاست نیستند. مهاجم این هدرها را کنترل نمی کند ، زیرا آنها به سیستم های مورد نظر دسترسی ندارند.