如果一个网站不使用 cookie 或 IP 地址进行身份验证，那么它在所有内容上设置 access-control-allow-origin： * 是否安全？

问：

我的理解是，同源策略需要存在，因为浏览器会自动发送任何 cookie 以供 bakery.com 以及任何对 bakery.com 的请求，包括从 evil.com 发起的请求。因此，如果 bakery.com 使用 cookie 来判断用户是否已登录，则来自 evil.com 的请求将附带相同的 cookie，并被视为来自同一登录用户。

但是，假设有一个网站 fancy.com 不使用 cookie 进行身份验证。也许它将用户的密码存储在 localStorage 中，并将其作为每个请求的一部分发送。由于 evil.com 无法访问 fancy.com 的 localStorage，因此它不知道要发送什么密码。

我看到的另一个例子是，为什么需要同源策略，如果 private.com 只允许来自本地网络内部的请求。如果该网络中的某个人从 evil.com 打开页面，他们的浏览器可能会向 private.com 发送请求，该请求将被视为来自该网络内部。

这些是跨域请求存在安全风险的唯一情况吗？如果 promiscuous.com 不使用 cookie 也不检查请求的来源地址，那么该网站允许来自任何来源的请求是否始终安全？如果不是，为什么不呢？