如何阻止一个站点窃取另一个站点'；s用户'；CORS的数据？

我对CORS的理解是，如果一个页面请求来自不同域的数据，浏览器将在请求时为浏览器用户使用不同域的cookie。这是否打开了以下安全漏洞的可能性

假设我正在运行一个开放CORS的a.com（接受所有请求）。是什么阻止了b.com向JS中的a.com请求安全的端点（通过cookie auth），并从a.com上的用户帐户获取一些信息，然后在幕后将其上载到b.com？如果浏览器包含cookie，那么服务器就无法知道它是真正的用户，还是另一个站点假装是用户

我是错过了什么，还是有可能

这假设当前浏览器用户访问过a.com，登录到a.com，然后访问了b.com

是什么阻止了b.com向JS中的a.com请求安全的端点（通过cookie auth），并从a.com上的用户帐户获取一些信息，然后在幕后将其上载到b.com

没什么

您正在使用开放式CORS跑步

这意味着您明确授予任何站点读取发送到用户浏览器的数据的权限

同一原产地政策的目的是防止这种情况发生。CORS允许您关闭该安全功能

设置完全开放的CORS允许任何站点访问您提供给用户的数据。当存在不应该对每个站点都可用的数据时，不应该设置完全打开的CORS