通过响应Access-Control-Allow-Origin:*请求的资源允许与每个来源共享。这基本上意味着任何网站都可以向您的网站发送XHR请求,并访问服务器的响应,如果您尚未实现此CORS响应,则不会出现这种情况。
因此,任何网站都可以代表其访问者向您的网站发出请求,并处理其响应。如果您的实施方式类似于基于浏览器自动提供的某种身份验证或授权方案(Cookie,基于Cookie的会话等),第三方网站触发的请求也会使用它们。
这确实带来了安全风险,特别是如果您允许资源共享不仅仅是针对所选资源,而是针对每个资源。在这种情况下,你应该看看When is it safe to enable CORS?。