Si este encabezado está establecido
Access-Control-Allow-Origin: *
javascript puede realizar una solicitud al dominio y leer la respuesta si y solo si no se envían cookies, de lo contrario, el javascript no puede leer la respuesta.
En términos generales, ¿por qué este encabezado se considera una práctica insegura para una aplicación web con estado que requiere autenticación?
Una aplicación nunca debe revocar sus derechos sobre la Política del mismo origen, a menos que no haya otra opción. Para que la información personal se divulgue con CORS, un atacante debe "viajar" en una sesión autenticada, lo que requeriría una cookie de sesión.
Un atacante podría explotar Access-Control-Allow-Origin: * para ver una aplicación a la que solo se puede acceder en una red local o VPN. En cierto sentido, este conjunto de reglas inseguro crea un túnel hacia una aplicación afectada, donde un atacante podría acceder a un servidor HTTP sensible en un segmento de red privada.
Lea otras preguntas en las etiquetas javascript