Siempre pensé que las restricciones de CORS eran deshabilitar el siguiente escenario:
Ingreso a attacker.com, JS envía GET a facebook.com, mi navegador agrega mis cookies, attacker.com tiene acceso a mi perfil / feed de Facebook.
PERO
Estoy intentando enviar una solicitud GET desde mi enlace a MY enlace con javascript, porque quiero compartir información de usuario en mi tienda. shop.domain.com es shopify, por lo que no puedo poner ningún código de fondo en este subdominio.
Recibí este error:
Access to XMLHttpRequest at 'https://www.domain.com/api/accounts/me' from origin 'https://shop.domain.com' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute.
mi API devuelve Access-Control-Allow-Origin: * y AÚN NO puedo publicar credenciales. Entonces, ¿cuál es el caso de uso para Access-Control-Allow-Origin: * ? Puedo entender por qué no funciona pero de qué estoy protegido si este encabezado no está presente.
¿Qué cambio trae este encabezado?
también mis cookies están en todo el dominio pero solo en HTTP, por lo que JS en shop.domain.com no puede simplemente extraer mi ID de sesión.