CORS不是坏习惯。它支持所有主要的浏览器，而且越来越多的API都支持它。实际上，如果您的公共资源不在防火墙后面，则可以将Access- Control-Allow-Origin: *标头放在资源上是安全的。

但是，对于服务器上CORS的角色有些困惑。CORS应该仅指示特定资源的跨域策略。换句话说，CORS标头仅用于指示是否允许来自不同来源的请求。我认为之所以会造成混乱，是因为服务器有时也会使用CORS来指示安全策略。CORS不是安全的。如果服务器的资源需要保护，以防某些用户使用，则仅依靠Origin头来强制执行此操作是不安全的。您的服务器需要其他一些安全机制（例如OAuth2和CSRF保护）。