Se questa intestazione è impostata
Access-Control-Allow-Origin: *
javascript può fare una richiesta al dominio e leggere la risposta se e solo se nessun cookie viene inviato, altrimenti il javascript non può leggere la risposta.
In generale, perché questa intestazione è considerata una pratica insicura per un'app web stateful che richiede l'autenticazione?