是的，这是设计使CORS标头对download属性没有影响。只有两种支持该download属性的浏览器，即Firefox和Chrome，并且两种浏览器对跨域文件都有不同的策略。

实际上，65之前的 Chrome版本确实允许download跨域文件中的属性，而没有CORS标头，但Firefox却选择了不允许，理由是潜在的社交工程攻击。

MDN download在a标记的属性部分下记录了Firefox 20的此行为，此行为至今未更改。

在Firefox 20中，仅对具有相同来源的资源的链接授予此属性。

Bugzilla的这份报告讨论了安全问题以及使用CORS的可能性。

当用户单击这样的链接时，将提示用户是否要下载。用户似乎很容易犯错，以为是在下载原始网站上的内容，而不是从bank.com上下载的内容。

如果您对跨源安全性提出质疑，是否可以在考虑到相同来源和CORS（访问控制允许来源）的情况下实现它？这对于Web应用程序非常有用（使用JS创建Blob并让用户使用一些有意义的名称下载它）

Google反对为此使用CORS。

还有这个Bugzilla报告，该报告总结了其他bug报告中的决策。

另外，跨源下载在Google Chrome中也可以正常运行。

是的，我们认为他们这样做是在添加安全漏洞。

Bugzilla问题似乎并未排除download将来使用CORS进行跨域属性支持的可能性，但现在使用CORS标头对download属性没有任何作用。如果其他浏览器开始支持该属性，则可能会达成共识。

为了完整起见，当然有Content-Disposition标头，您可以使用该标头来强制从其他域下载，但这并不提供与download属性相同的功能。它确实具有更好的浏览器支持。