私は今これでいくつかの仕事をしています。私は言いたいことがあります。私にとっては意味がありません!基本的には、サイトにイメージを提供するCSSを提供するCDNサーバーがあります。何らかの理由で、私のブラウザがCORSエラーでこれらのリソースをブロックするのを止めるために、そのサーバ(CDN)にAccess-Control-Allow-Originヘッダを追加させる必要がありました。しかし、限り、私はそれが絶対にセキュリティを高めるために何も言うことができます。これらのクロスドメインリソースがブラウザーにどの参照を参照しているかを要求するページでは、他のドメインから取得するのは安全ですか?悪意のあるドメインの場合は、アクセス制御許可原点が*に設定されているため、サイトが悪意のある応答を読み込むことはできません(明らかにそう答える必要はありません)。CORS(Access-Control-Allow-Originヘッダー)はどのようにセキュリティを強化しますか?
誰かがこのメカニズム/機能がセキュリティをどのように提供しているか説明できますか?限り、私は実装者に犯されたと言うことができ、実際には何もしません。ヘッダーは、要求されているドメインからではなく、クロスドメインリソースを参照/要求するページから要求されます。
明確になります。ドメインAのページをリクエストすると、レスポンスがドメインB(Access Control-Allow-Origin:.B.com)のAccess-Control-Allow-Originヘッダーホワイトリストリソースを含めることは意味がありますが、ドメインBがヘッダーを提供することによって効果的にホワイトリスト自体を意味をなさない。アクセス制御許可元:これはこれが現在実装されている方法です。誰でもこの機能の利点を明確にすることはできますか?
[CORSプリフライトリクエストのセキュリティ上の利点は何ですか?](http://stackoverflow.com/questions/35424709/what-are-the-security-benefits-of-cors-preflight-requests) – dippas