Según tengo entendido, existe la Política del mismo origen para evitar solicitudes autenticadas de otros orígenes.
Entonces, cuando un malvado construye un sitio web malvado que intenta secuestrar la autenticación activa de mis clientes para manipular o robar datos en mi servidor, mi servidor puede informarle al navegador de mi cliente, que mi servidor no aceptará solicitudes activadas El malvado sitio web de origen.
Pero me pregunto por qué el navegador prohíbe (SOP) todas las solicitudes de dominio cruzado cuando el servidor receptor no responde con los encabezados CORS correctos.
Pregunta: ¿No debería ser seguro permitir que el navegador envíe solicitudes de 'conocimiento cero' sin los datos de autenticación, las cookies, etc., que sabe de encuentros anteriores con el dominio? ¿Me gusta en modo de navegador de incógnito / anónimo o con un archivo de cookie nuevo?
De esa manera, la comunicación entre dominios aún funcionaría para servidores sin encabezados y navegadores CORS que todavía evitarían el secuestro de autenticación.