CORS(Cross-Origin Resource Sharing)について読んだ後、それがどのようにセキュリティを向上させるのか理解できません。正しいORIGINヘッダーが送信された場合、クロスドメインAJAX通信が許可されます。例として、私が送る場合
サーバーは、このドメインがホワイトリストに含まれているかどうかを確認し、含まれている場合はヘッダーを確認します。
Access-Control-Allow-Origin:[ここで受信したURL]
応答と一緒に返送されます(これは単純なケースであり、事前に戦われた要求もありますが、質問は同じです)。
これは本当に安全ですか?誰かが情報を受け取りたい場合、ORIGINヘッダーを偽造することは本当に簡単な作業のように思えます。また、標準では、ポリシーはブラウザに適用され、Access-Control-Allow-Originが正しくない場合は応答をブロックするとされています。明らかに、誰かがその情報を取得しようとしている場合、彼はそれをブロックするために標準のブラウザを使用しません。