Каков правильный заголовок ответа AMP-Access-Control-Allow-Source-Origin для AMP Email Playground?

Question

Документация для amp-email "требования безопасности" гласит:

Все ответы должны отражать значения источника и __amp_source_origin сверху, если они действительны:

Access-Control-Allow-Origin: https://amp.gmail.dev
AMP-Access-Control-Allow-Source-Origin: amp@gmail.dev
Access-Control-Allow-Source-Origin: AMP-Access-Control-Allow-Source-Origin

Если ответ не содержит этих значений, запрос CORS завершится неудачно, что приведет к появлению предупреждающего сообщения консоли браузера.

Я тестирую использование amp-список на игровой площадке, и мой ответ содержит эти заголовки.Однако данные не отображаются, и в консоли я получаю следующую ошибку: Request xhr failed: The amp-access-control-allow-source-origin must be equal to the amp source origin sent in the request.​​​ amp_source_origin, указанный в запросе, - amp@gmail.dev, как и ожидалось.

Вот копия соответствующих заголовков ответов, которые я возвращаю:

Access-Control-Allow-Origin: https://amp.gmail.dev
Access-Control-Allow-Source-Origin: AMP-Access-Control-Allow-Source-Origin
Amp-Access-Control-Allow-Source-Origin: amp@gmail.dev

Нужно ли предоставить какой-то дополнительный заголовок?

Answer 1

Правильными заголовками для CORS в Gmail AMP Playground являются следующие:

Access-Control-Allow-Origin: https://amp.gmail.dev
AMP-Access-Control-Allow-Source-Origin: amp@gmail.dev
Access-Control-Expose-Headers: AMP-Access-Control-Allow-Source-Origin

В документации Gmail изначально была ошибка, в которой неправильно использовалось Access-Control-Allow-Source-Origin вместо Access-Control-Expose-Headers, но теперь это исправлено.