SOPとCORSの歴史的経緯

SOPがない時代

1995年

SOPがNetscape Navigator 2.02に導入される

基本的にはこれで安全

ただし、cross origin wrightに関してはできる

だからcsrfはできるmrsekut.icon

ただ、制限があるため自社で2つのoriginを持っている場合などに不便

2005年〜2014年頃

CORSが追加された

後方互換性が考慮された

W3Cの新規の仕様策定時に、追加のセキュリティ保護の実装が必要になってはいけないという前提がある

Must not require content authors or site maintainers to implement new or additional security protections to preserve their existing level of security protection. ref

参考

CORSの仕様はなぜ複雑なのか

https://www.youtube.com/watch?v=ryztmcFf01Y