为什么CORS规范不允许重定向？

Question

W3C CORS规范在步骤2中清楚地声明了

如果响应的HTTP状态代码为301、302、303、307或308，则为 应用缓存和网络错误步骤。

我认为这项措施是为了减轻安全风险而增加的。但是，我无法找到详细说明允许重定向的安全后果的消息来源。

关于如何规避这个问题的问题已经被在此之前问到了。我正在寻找一个解释，为什么这个条款被包括在规范的第一，如以下问题：

CORS -引入飞行前请求的动机是什么？

为什么一个跨来源的头部请求需要一个飞行前检查？

Answer 1

来自WHATWG邮件列表

主要是因为有了飞行前的抓取，一切变得更加复杂。如果我们想出了一个合理的协议，我们确实会在某个时候打开大门，允许这样做，但为了简单起见，我们一开始就放弃了它。