NetlifyCMS Auth на AWS Amplify
Всякий раз, когда я начинаю думать о CORS, моя интуиция о том, какой сайт содержит заголовки, неверна, как вы описали в своем вопросе. Для меня это помогает думать о цели одной и той же политики происхождения.
Цель той же политики происхождения - защитить вас от вредоносного JavaScript на сайте. Доступ к частной информации, которую вы решили поделиться только с siteB.com. Без такой же политики происхождения JavaScript, написанный авторами сайта site.com, может заставить ваш браузер делать запросы на siteB.com, используя ваши файлы cookie для проверки подлинности на сайте site.com. Таким образом, siteA.com может украсть секретную информацию, которую вы делитесь с сайтом site.com.
Иногда вам нужно работать с перекрестным доменом, в который входит CORS. CORS расслабляет ту же самую исходную политику для domainA. com, используя заголовок Access-Control-Allow-Origin, чтобы перечислить другие домены (domainB.com), которым доверено запускать JavaScript, который может взаимодействовать с domainA.com.
Чтобы понять, какой домен должен обслуживать заголовки CORS, рассмотрите это , Вы посещаете malicious.com, который содержит JavaScript, который пытается сделать запрос перекрестного домена на mybank.com. Это должно быть до mybank.com, а не malicious.com, чтобы решить, устанавливает ли он заголовки CORS, которые ослабляют одну и ту же политику происхождения, позволяя JavaScript от malicious.com взаимодействовать с ним. Если бы malicous.com мог устанавливать свои собственные заголовки CORS, позволяющие использовать свой собственный JavaScript-доступ к mybank.com, это полностью аннулирует ту же самую политику происхождения.
Я думаю, что причиной моей плохой интуиции является Точка зрения у меня при разработке сайта. Его мой сайт, со всем моим JavaScript, поэтому он не делает ничего злонамеренного, и мне следует определить, с какими другими сайтами может взаимодействовать JavaScript. Когда на самом деле я должен думать, какие другие сайты JavaScript пытаются взаимодействовать с моим сайтом, и должен ли я использовать CORS для их разрешения?