CORS-Filter funktioniert nur im Backend, dazu müssen sensitive-headers durchgereicht werden

[rowe42]

Um das Frontend mit polymer serve aufzurufen, ist ein CORS-Filter im Backend nötig. Ich habe versucht, diesen ins API-Gateway einzubauen, das hat aber nicht funktioniert.

Der CORS-Filter existiert nun

• im User-Service direkt unter UserServiceApplikation
• im Admin-Service unter de.muenchen.service.security.filter.CorsFilter (dort war er vorher schon, vormals als Teil der Service-Lib).

Damit das funktioniert, muss der API-Gateway per "sensitiveHeaders" die Cookies ans Backend durchreichen. Habe das so eingestellt, aber eigentlich sollte das nicht nötig sein. Man sollte eruieren, ob sich der CorsFilter nicht doch irgendwie im API-Gateway einsetzen lässt (oder ggf. für Produktion deaktivieren, wo das Frontend ja ohne Cors direkt im API-Gateway läuft).

[rowe42]

@a52team schau mal hier, ein paar Infos zum cors Filter

[rowe42]

Mit Boxi diskutieren, wie schlimm das ist.