Estoy haciendo una prueba de verificación para un problema de CORS que descubrimos. Al especificar un origen, la aplicación solía responder con el origen permitido a cualquier URL. Sin embargo, al volver a realizar la prueba, la aplicación ahora devuelve dos encabezados de Access-Control-Allow-Origin, uno que especificamos (en Origin) y uno de confianza específico.
He intentado un POC y no se carga debido a que "el encabezado 'Access-Control-Allow-Origin' contiene varios valores, pero solo uno está permitido". Lo que es bueno, lo que significa que han solucionado el problema! Pero, ¿es esta una solución aceptable que han proporcionado?
Estos son los encabezados de respuesta, después de especificar un encabezado de solicitud con Origin: http://test.com
HTTP/1.1 200 OK
Cache-Control: Private, max-age=0, no-cache
Allow: GET
Content-Type: application/json; charset=UTF-8
Vary: Origin
X-Robots-Tag: noindex
Link: <https://www.TARGET.com/>; rel="https://api.w.org/"
X-Content-Type-Options: nosniff
Access-Control-Expose-Headers: X-WP-Total, X-WP-TotalPages
Access-Control-Allow-Headers: Authorization, Content-Type
Access-Control-Allow-Origin: http://test.com
Access-Control-Allow-Methods: OPTIONS, GET, POST, PUT, PATCH, DELETE
Access-Control-Allow-Credentials: true
Strict-Transport-Security: Max-age=7776000
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Access-Control-Allow-Origin: https://www.TARGET.com
Date: Fri, 27 Jul 2018 11:25:56 GMT
Connection: close
Content-Length: 58654