TIL, что одна из целей Cross-Origin-Resource-Sharing - CORS (если не единственная) - защитить данные, сохраненные в браузере, для определенного веб-сайта. Судя по соответствующей статье в Википедии , это относится только к HTTP-файлам cookie. Поэтому, если я реализую CORS на бэкэнде, мне придется перечислять конкретные разрешенные домены вместо *, потому что это эффективно создаст уязвимость безопасности.
Но что, если моя служба вообще не использует файлы cookie браузера? У меня есть REST API, где авторизация выполняется путем передачи специального заголовка, без использования куки-файлов. Безопасно ли в этом случае разрешать любые запросы CORS с Allow-Origin=* на бэкэнде?