Estou desenvolvendo uma API da web JSON / REST, para a qual quero especificamente que sites de terceiros possam ligar para o meu serviço por meio do AJAX. Portanto, meu serviço está enviando o famoso cabeçalho CORS:

Access-Control-Allow-Origin: *

O que permite que sites de terceiros liguem para meu serviço através do AJAX. Tudo bem até agor

No entanto, uma subseção da minha API da Web não é pública e requer autenticação (material bastante padrão com OAuth e um cookie access_token). É seguro ativar o CORS também nesta parte do meu site?

Por um lado, seria legal se sites de terceiros pudessem ter clientes ajax que também interagem com essa parte do meu serviço. No entanto, a razão pela qual existe uma mesma política de origem é que isso pode ser arriscado. Você não deseja que nenhum site visitado posteriormente possa acessar seu conteúdo privado.

O cenário que receio é que um usuário efetue login na minha API da Web, no site ou em um site em que ele confie, e ele se esqueça de sair. Isso permitirá que todos os outros sites que ele acessa posteriormente acessem seu conteúdo privado usando a sessão existente?

Então minhas perguntas:

É sempre seguro ativar o CORS em conteúdo não público?Se um servidor habilitado para CORS definir um session_token por meio de um cookie, esse cookie será salvo no domínio do servidor CORS ou do servidor principal de página da web?