認証情報付きのリクエストでは、特別な意味のない "*" というヘッダー名として扱われます。
へー知らなかった。たくさんヘッダを追加する機会があって「これ開発環境だし * にできねえの?」と思って調べたら見つけた次第。
ちなみに似たような CORS 兄弟の Access-Control-Allow-Origin だと、ワイルドカードを指定した時、認証情報付きだとエラーになるとのこと。
資格情報がある時にワイルドカードを使用すると、エラーを返します。
純粋に似た名前の値をたくさん設定しないといけないのと、無効化する、という設定がないこと、 CORS 自体の動作がわかりづらくてこのあたり本当苦手である。
セキュリティが大事なのはわかるけど、もうちょっとなんとかならんかったのか。
