AFAIK, Access-Control-Allow-Origin केवल एक http हैडर है जो सर्वर से ब्राउज़र में भेजा जाता है। इसे एक विशिष्ट पते पर सीमित करना (या इसे अक्षम करना) आपकी साइट को सुरक्षित नहीं बनाता है, उदाहरण के लिए, रोबोट। यदि रोबोट चाहते हैं, तो वे हेडर को अनदेखा कर सकते हैं। नियमित ब्राउज़र वहाँ (एक्सप्लोरर, क्रोम, आदि) डिफ़ॉल्ट रूप से हेडर का सम्मान करते हैं। लेकिन पोस्टमैन की तरह एक आवेदन बस इसे अनदेखा करता है।
सर्वर का अंत वास्तव में यह जांच नहीं करता है कि प्रतिक्रिया के वापस आने पर 'मूल' क्या है। यह सिर्फ http हैडर जोड़ता है। यह ब्राउज़र (क्लाइंट एंड) है जिसने अनुरोध भेजा है जो एक्सेस-कंट्रोल हेडर को पढ़ने और उस पर कार्य करने का निर्णय लेता है। ध्यान दें कि XHR के मामले में यह पहले हेडर के लिए पूछने के लिए एक विशेष 'विकल्प' अनुरोध का उपयोग कर सकता है।
तो, रचनात्मक स्क्रिप्टिंग क्षमताओं वाला कोई भी आसानी से पूरे हेडर को अनदेखा कर सकता है, जो भी इसमें सेट है।
Access-Control-Allow-Origin की स्थापना के संभावित सुरक्षा मुद्दे भी देखें ।
अब वास्तव में प्रश्न का उत्तर देना है
मैं मदद नहीं कर सकता लेकिन मुझे लगता है कि मैं अपने पर्यावरण को सुरक्षा जोखिमों में डाल रहा हूं।
यदि कोई आप पर हमला करना चाहता है, तो वे आसानी से एक्सेस-कंट्रोल-अनुमति-उत्पत्ति को बायपास कर सकते हैं। लेकिन '*' को सक्षम करने से आप हमलावर को कुछ और 'अटैक वैक्टर' देते हैं, जैसे कि नियमित रूप से वेबब्रोजर्स का उपयोग करके, जो कि HTTP हेडर का सम्मान करते हैं।