Я хочу разрешить клиентским приложениям делать междоменные запросы JSON к центральному серверу данных. Клиенты и сервер будут находиться в разных доменах.
Чтобы получить вокруг ошибки "Origin null не разрешено Access-Control-Allow-Origin." у меня сервер установил заголовок:
Access-Control-Allow-Origin: *
.
Я вижу здесь (http://www.w3.org/wiki / CORS_Enabled), что перекрестный домен должен использоваться только для «общедоступных данных, которые не требуют аутентификации на основе файлов cookie или сеанса».
Небезопасно использовать аутентификацию на основе сеанса / файлов cookie при использовании Access-Control-Allow-Origin : * header? Если не почему?
Спасибо.