Infosec nos ha recomendado usar este encabezado:
Access-Control-Allow-Origin:http://domainA.mycompany.com,http://*.mycompany.com
Pero también tengo un dominio: http://domainB.mycompany.com
Por lo tanto, si solo utilizo
Access-Control-Allow-Origin:http://*.mycompany.com
¿Será esto suficiente? o tiene que ser específico del dominio?
El código del lado del servidor debe leer el encabezado de solicitud Origin y si el patrón coincide con uno de sus dominios ( http://*.mycompany.com ), entonces puede devolver Access-Control-Allow-Origin: <domain> donde <domain> es el Origin dado en la solicitud .
Entonces, si el encabezado de tu solicitud es
Origin: http://foo.mycompany.com
esto coincidirá con http://*.mycompany.com
para que configures
Access-Control-Allow-Origin: http://foo.mycompany.com
para esta respuesta.
Lea otras preguntas en las etiquetas http