Javascript CORS实际上是如何保护用户的？

想象一下下面的场景

我恶意地设法让我的横幅广告出现在BankOfSouthernJakku.com上。在这则广告中，我提供了一些调用StealMyData.com的JavaScript。由于我拥有StealMyData.com，我添加了一个CORS策略，允许从BankOfSouthernJakku.com访问

因此，JavaScript会将银行应用程序的状态发送到我的恶意站点

在这种情况下，CORS如何保护用户？还是我完全误解了CORS的工作

---

注意：我确实读过，但他们没有解决这个问题。

cors比用户更能保护版权，或者至少允许所有者选择不执行机械版权。它对安全性的影响相当有限，因为最强大的攻击甚至不使用浏览器。对于您所描述的Exfilter，在不透明传输的情况下，CORS甚至不起作用，因为您可以通过IMG ping、隐藏表单提交等方式从站点获取私人信息。您所描述的场景不是同一来源策略旨在防御的场景。CORS的要点是，你不能从你请求的网站窃取数据。在您的情况下，您正在请求

StealMyData.com

，CORS允许您发送和读取它。但是，它不允许你打电话到

facebook.com

获取登录用户的好友列表。所以，是的，如果你在他们的网站上运行代码，CORS不重要，你可以把请求作为图像请求发送。甚至更糟糕的是，使用用户的密码从任何网站打电话到BankOfSouthernJakku.comcookies@dandavis-同源策略（CORS放宽）与版权强制执行完全无关。它不会阻止（攻击者）聚合/聚合的成本，这就阻止了像digg这样的网站在没有广告或新广告的情况下简单地插入其他内容并显示。这就迫使“被盗”内容来自注册域名，从而形成书面记录。金钱是网络的动力，而金钱来自广告。我们生活在一个技术决定论的世界。