Estoy confundido acerca de por qué los sitios web usan CORS. Sé que CORS proporciona algunos protocolos a través de los cuales el sitio web puede llamar a los recursos de otros dominios, pero ¿es posible llamar al recurso sin CORS?
Si es así, ¿qué vulnerabilidad puede causar?
Puede enviar dominios cruzados de solicitudes GET y POST incluso si el destino no usa CORS, pero hay algunas restricciones. Lo más importante es que no puede leer la respuesta . Esta restricción está incorporada en los navegadores como parte de la Política de origen único (SOP) y protege contra la pérdida de datos en los dominios. Sin embargo, también le impide publicar una API que puede leerse desde cualquier dominio.
CORS le da la opción de eliminar esa restricción, es decir, permitir que el dominio que aloja la API anuncie a los navegadores que permite llamadas de dominio cruzadas desde todos o algunos dominios. Así que no diría que CORS protege contra una vulnerabilidad específica. Más bien, le permite abrir su API: s hasta el mundo. No tener una política CORS en absoluto siempre será la opción más restrictiva.
Para más información sobre CORS, recomiendo Mozilla y HTML5 Rocks .
Lea otras preguntas en las etiquetas web-application cors