Saya menyelam lebih dalam untuk mengembangkan API RESTful dan sejauh ini bekerja dengan beberapa kerangka kerja yang berbeda untuk mencapai ini. Tentu saja saya telah menjalankan kebijakan asal yang sama, dan sekarang saya bertanya-tanya bagaimana server web (bukan browser web) menegakkannya. Dari apa yang saya mengerti, beberapa penegakan tampaknya terjadi pada akhirnya browser (misalnya, menghormati header Access-Control-Allow-Origin yang diterima dari server). Tapi bagaimana dengan server?
Sebagai contoh, katakanlah server web hosting aplikasi web Javascript yang mengakses API, juga di-host di server itu. Saya berasumsi bahwa server akan memberlakukan kebijakan yang sama-asal --- sehingga hanya javascript yang di-host di server yang akan diizinkan untuk mengakses API. Ini akan mencegah orang lain dari menulis klien javascript untuk API itu dan hosting di situs lain, kan? Jadi, bagaimana server web dapat menghentikan klien jahat yang akan mencoba membuat permintaan AJAX ke titik akhir APInya sementara mengklaim menjalankan javascript yang berasal dari server web yang sama? Apa cara server paling populer (Apache, nginx) melindungi dari serangan semacam ini? Atau apakah pemahaman saya tentang ini entah bagaimana melenceng?
Atau apakah kebijakan lintas asal hanya diberlakukan pada klien?