Защо ви трябват корсове
1. JS може да изпраща данни навсякъде, например с GET заявка.
2. CORS е необходим, за да позволи на КЛИЕНТА (браузър) да приема определени видове ресурси.
Традиционно браузърът може да свързва изображения, рамки, скриптове и флаш от други домейни, но не може да използва ajax или уеб шрифтове, ако този домейн не е включен в списъка Access-Control-Allow-Origin на сървъра.
Първо, струва си да се разбере, че cors е начин да се заобиколи същата политика за произход
Още в дните на win95, Netscape наложи ограничения върху скриптове, изпълнявани в браузъра, за да направи xss и фишинга по-сложни. По-късно други браузъри спряха.
Ако е на пръсти, тогава работи по следния начин: Василий отвори онлайн магазин „прозорци, балкон, евтини, без SMS“ и вмъкна джаджа iframe от хартия например. И същият произход защитава този iframe, скриптовете на Вася не могат да повлияят на съдържанието му.