Sto facendo un test di verifica per un problema CORS che abbiamo scoperto. Quando si specifica un'origine, l'applicazione utilizzata per rispondere con consentire origine a qualsiasi URL. Tuttavia, al termine del test, l'applicazione restituisce ora due intestazioni Access-Control-Allow-Origin, una che abbiamo specificato (in Origin) e una specifica attendibile.
Ho tentato un POC e non riesce a caricare a causa di "L'intestazione Access-Control-Allow-Origin" contiene più valori, ma solo uno è consentito. ". Che è buono, nel senso che hanno risolto il problema! Ma questa è una soluzione accettabile che hanno fornito?
Questa è l'intestazione della risposta, dopo aver specificato un'intestazione della richiesta con Origin: http://test.com
HTTP/1.1 200 OK
Cache-Control: Private, max-age=0, no-cache
Allow: GET
Content-Type: application/json; charset=UTF-8
Vary: Origin
X-Robots-Tag: noindex
Link: <https://www.TARGET.com/>; rel="https://api.w.org/"
X-Content-Type-Options: nosniff
Access-Control-Expose-Headers: X-WP-Total, X-WP-TotalPages
Access-Control-Allow-Headers: Authorization, Content-Type
Access-Control-Allow-Origin: http://test.com
Access-Control-Allow-Methods: OPTIONS, GET, POST, PUT, PATCH, DELETE
Access-Control-Allow-Credentials: true
Strict-Transport-Security: Max-age=7776000
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Access-Control-Allow-Origin: https://www.TARGET.com
Date: Fri, 27 Jul 2018 11:25:56 GMT
Connection: close
Content-Length: 58654