CORS를 활성화하는 것은 언제 안전합니까? 저는 특히 제 3 자 웹 사이트가 AJAX를 통해 내 서비스를 호출 할 수 있도록하는 JSON / REST 웹 API를 개발 중입니다. 따라서 내 서비스는 유명한 CORS 헤더를 보냅니다. Access-Control-Allow-Origin: * 타사 사이트에서 AJAX를 통해 내 서비스를 호출 할 수 있습니다. 지금까지는 괜찮습니다. 그러나 내 웹 API의 하위 섹션은 비공개이며 인증이 필요합니다 (OAuth 및 access_token 쿠키가있는 매우 표준적인 항목). 내 사이트의이 부분에서도 CORS를 활성화하는 것이 안전합니까? 한편으로는 타사 웹 사이트에 내 서비스의이 부분과 상호 작용하는 ajax 클라이언트가있을 수 있다면 멋질 것입니다. 그러나 처음에..