Политика общего происхождения и CORS: визуальное руководство

[Alexandroppolus]

Кроме аяксовых запросов и iframe, cors ещё всплывает на картинках и внешних css. Картинки "портят" канву, не получится её сохранить в base64 или блоб. А в таблицу стилей нельзя залезть скриптом. То есть общая идея — данные с другого домена невозможно получить в js.
Атрибут crossorigin позволяет решить вопрос, но сервер должен добавить упомянутый в посте заголовок ответа, чтобы разрешить.

[monochromer]

del

[ermak0ff]

Когда происходит запрос к другому источнику, клиент автоматически добавляет в HTTP-запрос заголовок Origin.

а можно ли вручную указать заголовок Origin для обхода CORS?

[fedorro]

Скриптом из браузера его изменить нельзя, иначе смысла бы не было во всем этом механизме. Если браузер скомпрометирован или стоит вредоносное расширение то подмена Origin — уже не самая большая проблема. Кроме того сервер всё равно отправляет ответ (даже если Origin не тот), и разрешенные получатели опять же сравниваются на стороне клиента. Хотя возможно и на стороне сервера заложить логику не отвечать запросам с неправильным заголовком, как раньше по заголовку Referer некоторые ресурсы пытались противостоять тиражированию ссылок на скачивание на сторонних ресурсах.