Всем, привет! Нужна помощь с nginx ingress controller. У меня

два фронта по https обращаются к одному gateway серверу. Ingress самого gateway у меня хранит сертификаты домена уровня *.domen.tech. А в аннотации nginx.ingress.kubernetes.io/cors-allow-origin пробовал ставить значение "https://front1.domen.tech, https://front2.domen.tech". Но когда фронт, с поддоменом domen.tech делает запросы на gateway, то браузер выдаёт ошибку:

Access to XMLHttpRequest at 'https://gateway.domen.tech/auth/login' from origin 'https://front1.domen.tech' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute

Перерыл весь issue самого nginx-ingress controller'а. Проблема оказалась актуально до сих пор. Понятное дело, если установить конкретный адрес в аннотацию nginx.ingress.kubernetes.io/cors-allow-origin, то всё заработает. Но просто проблема в том, что нужно, чтобы два фронта, обращались на один gateway сервер.

Я так же пробовал полностью удалять настройки CORS из Ingress самого gateway и перенести на уровен самого golang приложения - не вышло. Там он уже выдавал ошибку:

Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

Как исправить эту проблему?

А если их через запятую указать?:)

запрос на https://gateway.domen.tech/auth/login какие заголовки возвращает? Ну и в целом не советую управлять CORS загловками из ingress-controller, это должно управляться приложением, которое обслуживает endpoint https://gateway.domen.tech/auth/login

Да, про то, что корсами должно управлять само приложение я знаю. Я уже пробовал убирать cors настройки из ingress и устанавливать их в само приложение, но по итогу я получал ошибку: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

ну так надо же смотреть какие заголовки CORS выдаются, и проверять подходят ли они или нет

OPTIONS возвращает: access-control-allow-credentials: true access-control-allow-headers: DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization access-control-allow-methods: GET, PUT, POST, DELETE, PATCH, OPTIONS access-control-allow-origin: * access-control-max-age: 1728000 content-length: 0 date: Fri, 01 Jul 2022 10:40:07 GMT strict-transport-security: max-age=15724800; includeSubDomains

Угу, и в ошибке The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include' То есть credentails mode нельзя использовать с wildcard: '*' - он тебе об этом пишет