Je ne parlais pas de la techno en elle-même, évidemment, CORS n'est pas la faille, je n'ai jamais dit ça. C'est le piratage que tu as décrit qui s'apparente à de l'exploitation de faille XSS. Ce type de faille est indépendant de la techno qui "ouvre la faille". En l’occurrence il s'agit bien de ne pas laisser filtrer une info qui appartient à un domaine vers un autre domaine.
Et pour répondre à la question en fin de ton post : bah, c'est pas nous qui avons développé la fonctionnalité. C'est à peu près certain qu'il y avait un besoin spécifique auquel répond cette techno et qui nécessitait que le receveur précise l'acceptation par entête et non l'inverse.
Je dirai que ce cas de figure est le suivant :
"J'ai un domaine type encyclopédique ou annuaire : aucune donnée n'est privée et je souhaite proposer un accès facile à toutes mes ressources à n'importe qui." À moins qu'il ne s'agisse de rien d'autre que de proposer un moyen facile de proposer des pubs ciblées (rire diabolique).
À mon avis, la techno répond à ce besoin-là. Évidemment, ce n'est que mon humble avis et toute techno peut être détournée pour faire autre chose en considérant les risques que tu as mentionnés.
Et pour répondre à la question en fin de ton post : bah, c'est pas nous qui avons développé la fonctionnalité. C'est à peu près certain qu'il y avait un besoin spécifique auquel répond cette techno et qui nécessitait que le receveur précise l'acceptation par entête et non l'inverse.
Je dirai que ce cas de figure est le suivant :
"J'ai un domaine type encyclopédique ou annuaire : aucune donnée n'est privée et je souhaite proposer un accès facile à toutes mes ressources à n'importe qui." À moins qu'il ne s'agisse de rien d'autre que de proposer un moyen facile de proposer des pubs ciblées (rire diabolique).
À mon avis, la techno répond à ce besoin-là. Évidemment, ce n'est que mon humble avis et toute techno peut être détournée pour faire autre chose en considérant les risques que tu as mentionnés.