Всем привет.
В ходе работы возникло несколько вопросов по этому заголовку.
1)Если добавляем:
add_header Access-Control-Allow-Origin http://127.0.0.1:8055;
add_header Access-Control-Allow-Origin https://mail.google.com;
add_header Access-Control-Allow-Origin https://docs.google.com;
То не сервер отдает пустой ответ не смотря на правильно передающийся Origin.
Если выставить add_header Access-Control-Allow-Origin *; получаем ответ.
2) Чем чревато все же выставление Access-Control-Allow-Origin * на весь сайт? В целом понятно, что 6 соединений из браузера и все такое, но какую это может нести в себе реальную угрозу?
Спасибо.