Header set Access-Control-Allow-Origin '*'

Tut das nicht!

warum nicht, es geht doch um frei zugängliche Daten.

• Dummerweise ist dann 3 Klicks weiter auf Deiner Webseite eine Login-Seite mit, weils so schön bunt ist, einem genau für diese Seite beim Drittanbieter „moneyfornothing“ gebuchten Werbebanner für „chicks for free“ - welches "zufällig" Javascript enthält.
• Dummwerweise haben plötzlich irgendwelche anderen Leute Admin-Rechte an Deinem CMS... und statt Matheaufgaben für die Kids gibt es KatzenTittenbilder...
• Dummerweise bekommst Du merkwürdige Protestbriefe von #meetoo, dem Jugenschutzbeauftragten oder der Staatsanwaltschaft...