Безопасно ли использовать настройку «Access-Control-Allow-Origin: *» на сервере и одновременно использовать файлы cookie на основе сеанса?

Я хочу разрешить клиентским приложениям делать междоменные запросы JSON к центральному серверу данных. Клиенты и сервер будут находиться в разных доменах.

Чтобы получить вокруг ошибки "Origin null не разрешено Access-Control-Allow-Origin." у меня сервер установил заголовок:

Access-Control-Allow-Origin: *

.

Я вижу здесь (http://www.w3.org/wiki / CORS_Enabled), что перекрестный домен должен использоваться только для «общедоступных данных, которые не требуют аутентификации на основе файлов cookie или сеанса».

Небезопасно использовать аутентификацию на основе сеанса / файлов cookie при использовании Access-Control-Allow-Origin : * header? Если не почему?

Спасибо.