CORS

CORSまとめ - Qiita 2017

Apache 2.4でCORSヘッダの追加 - skydum 2022

Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか - SSTエンジニアブログ 2021

複数ドメイン

CORSを使ったWebアプリケーションを作る際、API等のサービスを提供するサーバに対して複数のドメインからクロスドメイン通信させたい場合があります。しかし、HTTPレスポンスヘッダに書く事ができるCORSは1つだけです。

複数のWebサイトに対してクロスドメイン通信を許可するCORS設定方法 | DevelopersIO 2012

Apache

Sounds like the recommended way to do it is to have your server read the Origin header from the client, compare that to the list of domains you would like to allow, and if it matches, echo the value of the Origin header back to the client as the Access-Control-Allow-Origin header in the response.

With .htaccess you can do it like this:

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

https://stackoverflow.com/questions/1653308/access-control-allow-origin-multiple-origin-domains