Come indicato qui, link a "Richieste e caratteri jolly credenziali". Citazione:
When responding to a credentialed request, the server must specify an origin in the value of the Access-Control-Allow-Origin header, instead of specifying the "*" wildcard.
Because the request headers in the above example include a Cookie header, the request would fail if the value of the Access-Control-Allow-Origin header were "". But it does not fail: Because the value of the Access-Control-Allow-Origin header is "http://foo.example" (an actual origin) rather than the "" wildcard, the credential-cognizant content is returned to the invoking web content.
Quindi, se lo leggo correttamente, se Access-Control-Allow-Origin
è impostato su *
. Le richieste CORS non possono essere eseguite con credenziali, quindi, ad esempio con un'intestazione Authorization: Bearer 123
.
Questo si applica solo se la richiesta proviene da un'origine diversa dall'applicazione web (SOP). Altrimenti sarebbe impossibile per un'applicazione web utilizzare Access-Control-Allow-Origin: *
e Authorization: Token 123
.
L'ho capito correttamente?