0
从RFC6265 8.2节:为什么浏览器将Cookie附加到源自其他来源的请求?
使用cookie来验证用户可以承受的安全 漏洞,因为一些用户代理,使远程各方从用户代理(如问题 HTTP请求的服务器,通过HTTP重定向或HTML 形式)。当发出这些请求时,如果远程方不知道cookie的内容,用户代理可能会附加cookies,即使 , 可能让远程方在非正常的 服务器上行使权限。
在试图理解SOP很明显,这是事实,但我无法找到任何事情为什么是这种情况。即使请求源自不同的且可能是恶意的B源,也可以通过将每个请求的所有Cookie盲目附加到来源A来赋予什么好处?