我试图了解为什么CORS会以其有效的方式工作。当我从了解到这个职位，当从网页www.a.com使得AJAX请求www.b.com，那么它的www.b.com是决定是否请求应该被允许。但是在这样的模型中，什么是对客户确切的保护呢？例如，如果黑客成功将XSS脚本注入到我的页面，那么它将向其域发出AJAX请求以存储用户数据。因此，黑客的域肯定会允许这样的请求。我认为www.a.com应该决定允许请求访问的域。因此，从理论上讲，我想在标头Access-Control-Allow-Origin中放入AJAX CORS请求允许的域的整个列表。有人可以解释一下当前CORS实现所处理的安全问题吗？