Gostaria de ativar o CORS na minha instância do WSO2 API Manager para todos os pontos de extremidade. Eu já passei pela documentação (o que é ótimo) e sugere alterar arepositório / conf / api-manager.xml arquivo, pois há um nó de configuração do CORS (abaixo).

<!--Configuration to enable/disable sending CORS headers in the Gateway response
    and define the Access-Control-Allow-Origin header value.-->
<CORSConfiguration>

    <!--Configuration to enable/disable sending CORS headers from the Gateway-->
    <Enabled>true</Enabled>

    <!--The value of the Access-Control-Allow-Origin header. Default values are
        API Store addresses, which is needed for swagger to function.-->
    <Access-Control-Allow-Origin>*</Access-Control-Allow-Origin>

    <!--Configure Access-Control-Allow-Methods-->
    <Access-Control-Allow-Methods>GET,PUT,POST,DELETE,PATCH,OPTIONS</Access-Control-Allow-Methods>

    <!--Configure Access-Control-Allow-Headers-->
    <Access-Control-Allow-Headers>authorization,Access-Control-Allow-Origin,Content-Type</Access-Control-Allow-Headers>

<!--Configure Access-Control-Allow-Credentials-->
<!-- Specifying this header to true means that the server allows cookies (or other user credentials) to be included on cross-origin requests.
     It is false by default and if you set it to true then make sure that the Access-Control-Allow-Origin header does not contain the wildcard (*)
-->
<Access-Control-Allow-Credentials>true</Access-Control-Allow-Credentials>

</CORSConfiguration>

Esse arquivo parece não aplicar essa configuração do CORS a todos os pontos de extremidade. Recebo os cabeçalhos corretos de controle de acesso ao fazer solicitações aos pontos de extremidade da API que publiquei, mas não os recebo quando bato nos pontos de extremidade do token (padrão - '/ token', '/ revoke').

Como sou capaz de conseguir isso?