为什么浏览器将Cookie附加到源自其他来源的请求？

Question

从RFC6265 8.2节：

使用cookie来验证用户可以承受的安全 漏洞，因为一些用户代理，使远程各方从用户代理（如问题 HTTP请求的服务器，通过HTTP重定向或HTML 形式）。当发出这些请求时，如果远程方不知道cookie的内容，用户代理可能会附加cookies，即使 ， 可能让远程方在非正常的 服务器上行使权限。

在试图理解SOP很明显，这是事实，但我无法找到任何事情为什么是这种情况。即使请求源自不同的且可能是恶意的B源，也可以通过将每个请求的所有Cookie盲目附加到来源A来赋予什么好处？

Answer 1

那么，它也许起初看起来很奇怪，也许这是不是最好的办法，但在这里，它不应该是在大多数情况下一个问题：

• 请求的响应受阻SOP，所以没有信息被泄露反正

• POST请求（以及任何状态改变请求）应通过CSRF保护方法反正

加保护，如果浏览器没有这样的行为，那么具有宽松CORS规则的服务器将被阻止正常运行。