爲什麼瀏覽器將Cookie附加到源自其他來源的請求？

Question

從RFC6265 8.2節：

使用cookie來驗證用戶可以承受的安全 漏洞，因爲一些用戶代理，使遠程各方從用戶代理（如問題 HTTP請求的服務器，通過HTTP重定向或HTML 形式）。當發出這些請求時，如果遠程方不知道cookie的內容，用戶代理可能會附加cookies，即使 ， 可能讓遠程方在非正常的 服務器上行使權限。

在試圖理解SOP很明顯，這是事實，但我無法找到任何事情爲什麼是這種情況。即使請求源自不同的且可能是惡意的B源，也可以通過將每個請求的所有Cookie盲目附加到來源A來賦予什麼好處？

Answer 1

那麼，它也許起初看起來很奇怪，也許這是不是最好的辦法，但在這裏，它不應該是在大多數情況下一個問題：

• 請求的響應受阻SOP，所以沒有信息被泄露反正

• POST請求（以及任何狀態改變請求）應通過CSRF保護方法反正

加保護，如果瀏覽器沒有這樣的行爲，那麼具有寬鬆CORS規則的服務器將被阻止正常運行。