直到跨源资源共享(CORS)(如果不是唯一)的目的之一就是保护保存在特定网站的浏览器中的数据。从the relevant Wikipedia article来看,这仅适用于HTTP Cookies。因此,如果我在后端实施CORS,则必须列出允许的特定域而不是*,因为这将有效地创建一个安全漏洞。
但是,如果我的服务根本不使用浏览器cookie,该怎么办?我有一个REST API,其中的授权是通过传递特殊的标头完成的,而不以任何方式依赖Cookie。在这种情况下,允许在后端带有Allow-Origin=*的任何CORS请求是否安全?