¿Se considera seguro que una aplicación establezca un encabezado access-control-allow-origin: *
si durante el uso normal de la aplicación, las credenciales del cliente se insertan en los encabezados mediante el código JS? Por ejemplo:
GET /application/secretStuff
X-Authorization-Key: aaa
X-Authorization-Secret: bbbb
Esto significa que si un código malintencionado externo intenta realizar una llamada a esta URL, podrá ver la respuesta, pero esto será un error de autorización de todos modos.
Entiendo que hay al menos un inconveniente importante con esto, a saber, el aumento de la superficie de ataque. Pero estoy tratando de entender si este enfoque tiene otros problemas importantes.