http://en.wikipedia.org/wiki/Same_origin_policy¿Cuál es el modelo de amenaza para la misma política de origen?
La misma política de origen impide que un script de un sitio se comunique con otro. Wiki dice que es un "concepto de seguridad importante", pero no tengo claro qué amenaza impide.
Entiendo que las cookies de un sitio no se deben compartir con otro, pero que pueden (y se) imponer por separado.
La norma CORS http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing proporciona un sistema legítimo para eludir la misma política de origen. Es de suponer que no permite la amenaza que la misma política de origen está diseñada para bloquear.
En cuanto a CORS estoy aún menos claro a quién se protege de qué. CORS es aplicado por el navegador por lo que no protege ninguno de los sitios del navegador. Y las restricciones están determinadas por el sitio con el que la secuencia de comandos quiere hablar, por lo que no parece proteger al usuario de ninguno de los sitios.
Entonces, ¿para qué sirve la misma política de origen?
¿Cómo se hace eso sin acceso a las cookies? ¿o estoy equivocado sobre las cookies que están siendo protegidas? –
Las cookies se pueden enviar con la solicitud CORS estableciendo la propiedad de solicitud 'withCredentials' en' true'. Debido a que el JavaScript tiene acceso a las cookies de todos modos, no hay ningún beneficio en establecer barreras adicionales allí. Una buena lectura sobre el tema está aquí: http://hacks.mozilla.org/2009/07/cross-site-xmlhttprequest-with-cors/ – Waldheinz