Como se indica aquí, enlace en "Solicitudes con credenciales y comodines". Cita:
Al responder a una solicitud con credenciales, el servidor debe especificar una origen en el valor del encabezado Access-Control-Allow-Origin, en lugar de de especificar el comodín "*".
Debido a que los encabezados de solicitud en el ejemplo anterior incluyen una cookie encabezado, la solicitud fallaría si el valor del El encabezado de Access-Control-Allow-Origin era "". Pero no falla: Debido a que el valor del encabezado Access-Control-Allow-Origin es " enlace " (un origen real) en lugar del comodín "", El contenido del conocimiento de credenciales se devuelve a la web de invocación. contenido.
Entonces, si leo esto correctamente, si el Access-Control-Allow-Origin se establece en * . Las solicitudes CORS no se pueden realizar con credenciales, por ejemplo, con un encabezado Authorization: Bearer 123 .
Esto solo se aplica si la solicitud proviene de un origen diferente al de la aplicación web (SOP). De lo contrario, sería imposible para una aplicación web utilizar Access-Control-Allow-Origin: * y Authorization: Token 123 .
¿Entendí esto correctamente?