API リソースへのアクセスは、
Web ブラウザーによって自動的に送信できるが、Access-Control-Allow-Credentials が「true」に設定されていない限りクロスドメインには送信されない資格情報 (例: Cookie、HTTP Basic/Digest 認証、SSL 証明書)。
クライアントが手動で設定する必要がある HTTP ヘッダーまたは URL のクエリ パラメータとしてのシークレット トークン (OAuth アクセス トークンなど)。
それを念頭に置いて、API のすべてのリソースに「Access-Control-Allow-Origin: *」を設定することは常に安全ですか?