Se questa intestazione è impostata
Access-Control-Allow-Origin: *
javascript può fare una richiesta al dominio e leggere la risposta se e solo se nessun cookie viene inviato, altrimenti il javascript non può leggere la risposta.
In generale, perché questa intestazione è considerata una pratica insicura per un'app web stateful che richiede l'autenticazione?
Un'applicazione non dovrebbe mai revocare i loro diritti al criterio Same-Origin, a meno che non ci sia altra opzione. Affinché le informazioni personali vengano divulgate con CORS, un utente malintenzionato deve "cavalcare" una sessione autenticata, che richiederebbe un cookie di sessione.
Un Access-Control-Allow-Origin: * potrebbe essere sfruttato da un utente malintenzionato per visualizzare un'applicazione accessibile solo su una rete locale o VPN. In un certo senso, questa insicura serie di regole crea un tunnel verso un'applicazione interessata, in cui un utente malintenzionato può accedere a un server HTTP sensibile su un segmento di rete privato.
Leggi altre domande sui tag javascript