Tôi đã thực hiện một ít nghiên cứu trên web và tìm kiếm một số câu hỏi về SOP và loại lạm dụng nào giảm nhẹ, nhưng hầu hết các câu trả lời đều tập trung vào việc ngăn chặn thông tin đăng nhập bị đánh cắp. Điều này có ý nghĩa với tôi.Tại sao Chính sách gốc tương tự lại không cho phép đọc phản hồi GET?
Điều không hợp lý với tôi là lý do khiến các trình duyệt tuân theo quy tắc SOP chặn phản hồi hoàn toàn, thay vì chặn truy cập cookie và bộ nhớ cục bộ.
Nói cách khác, nếu cookie và lưu trữ cục bộ không tồn tại, bạn vẫn cần ngăn chặn đọc phản hồi GET? Có lẽ điều này đã xảy ra ở một mức độ nào đó với <img>
, <script>
và .