Javascript 关于XMLHttpRequest上的同源限制

我想对于

XMLHttpRequest

的同源限制有一些我不理解的地方

与其禁止Javascript代码向不同的主机发送http请求（对于合法的使用来说，这真的很烦人），在这种情况下，只允许请求而不发送或接受cookie不是更好吗

在我看来，禁止某个特定脚本获得互联网上其他人都能获得的东西，乍一看是一个相当奇怪的选择

我错过了什么

与其禁止Javascript代码向不同的主机发送http请求（对于合法的使用来说，这真的很烦人），在这种情况下，只允许请求而不发送或接受cookie不是更好吗

这就是具体规定

应用程序在使用用户凭据发出跨源请求时必须始终小心，处理此类请求的服务器在使用凭据（包括源标头）时必须小心

当请求具有除检索以外的重要意义时，并且当依赖于源报头作为凭据时，服务器必须小心区分授权请求和授权访问响应中该资源的表示

设置何时在请求中排除用户凭据以及何时在响应中忽略cookie

---

在我看来，禁止某个特定脚本获得互联网上其他人都能获得的东西，乍一看是一个相当奇怪的选择

我错过了什么

---

web标准机构花了一段时间才意识到，人们会希望编写严重依赖JavaScript的应用程序。Gmail改变了这一切，但像W3C这样的标准机构需要一段时间来填补功能漏洞。

您的建议最初可以保存用户数据，避免被利用，但这仍然意味着代码可以从任何其他潜在的恶意域运行，然后，它可以读取和传输cookie数据，而无需在请求中隐式发送。我想现在的情况是安全性和灵活性之间的最佳折衷。

我明白你的意思。。。然而，当安全性是基于要求用户代理执行的检查时，我总是感到不舒服。在我薄薄的礼帽下，我甚至可以听到一个声音说，在用户端推动安全性在技术上是胡说八道，但在战略上很重要，以便能够在未来宣称，您需要控制用户端允许运行的内容。