我試圖了解為什么CORS會以其有效的方式工作。當我從了解到這個職位，當從網頁www.a.com使得AJAX請求www.b.com，那么它的www.b.com是決定是否請求應該被允許。但是在這樣的模型中，什么是對客戶確切的保護呢？例如，如果黑客成功將XSS腳本注入到我的頁面，那么它將向其域發出AJAX請求以存儲用戶數據。因此，黑客的域肯定會允許這樣的請求。我認為www.a.com應該決定允許請求訪問的域。因此，從理論上講，我想在標頭Access-Control-Allow-Origin中放入AJAX CORS請求允許的域的整個列表。有人可以解釋一下當前CORS實現所處理的安全問題嗎？