>>244
popThumb_FAがnlFilterのヘッダ書き換えリダイレクタを使って無理やりクロスサイトリクエストを通してますね……
でも細かい制御が必要な実例は思いつきませんし,とりあえず置いておいて基本機能を実装します.
プリフライトだけは対応しないとPOSTで不具合起こすかな.

設定ファイルはフィルタと同様 data/cors/*.json を全部読み込む構成にしたほうが配布が楽ですね.
ディレクトリにしておくとDirectoryWatcherで変更の監視もできますし.

fake-originについてはnullと指定なしの挙動が異なってデフォルト値が存在しないというのは直感に反します.
"remove"や"none"のような文字列をOriginヘッダ削除に割り当てるとか.


さて自分で作った例でセキュリティホールを作りこんだのでorigin(と整合性のためにurl)は
先頭マッチじゃなくて全体マッチにしたほうが良さそうです.
これじゃwww.exmaple.com.example.netで動いてしまう……これは事故る.