Si este encabezado está establecido
Access-Control-Allow-Origin: *
javascript puede realizar una solicitud al dominio y leer la respuesta si y solo si no se envían cookies, de lo contrario, el javascript no puede leer la respuesta.
En términos generales, ¿por qué este encabezado se considera una práctica insegura para una aplicación web con estado que requiere autenticación?