Заголовок говорит сам за себя, «*» разрешает запросы с каждого адреса, поэтому возможно ли, что кто-то за пределами сети может отправить его на сервер localhost?