From 98d2f194a0f968635b7e5ff05daa4bfeabe8dcb3 Mon Sep 17 00:00:00 2001
From: Caleb Doxsey <cdoxsey@pomerium.com>
Date: Fri, 8 May 2020 15:56:43 -0600
Subject: [PATCH] authorize: allow CORS preflight requests (#672)

* proxy: implement preserve host header option

* authorize: allow CORS preflight requests
---
 authorize/evaluator/opa/policy/authz.rego     | 11 +++-
 .../evaluator/opa/policy/authz_test.rego      | 30 ++++++++++
 authorize/evaluator/opa/policy/statik.go      |  3 +-
 authorize/grpc.go                             |  1 +
 internal/middleware/cors.go                   | 26 ---------
 internal/middleware/cors_test.go              | 56 -------------------
 6 files changed, 42 insertions(+), 85 deletions(-)
 delete mode 100644 internal/middleware/cors.go
 delete mode 100644 internal/middleware/cors_test.go

diff --git a/authorize/evaluator/opa/policy/authz.rego b/authorize/evaluator/opa/policy/authz.rego
index ad03a6fc2..4661096cb 100644
--- a/authorize/evaluator/opa/policy/authz.rego
+++ b/authorize/evaluator/opa/policy/authz.rego
@@ -11,6 +11,16 @@ allow {
 	route_policies[route].AllowPublicUnauthenticatedAccess == true
 }
 
+# allow cors preflight
+allow {
+	route := first_allowed_route(input.url)
+	route_policies[route].CORSAllowPreflight == true
+	input.method == "OPTIONS"
+	count(object.get(input.headers, "Access-Control-Request-Method", [])) > 0
+	count(object.get(input.headers, "Origin", [])) > 0
+}
+
+
 # allow by email
 allow {
 	route := first_allowed_route(input.url)
@@ -62,7 +72,6 @@ allow {
 	token.valid
 	count(deny)==0
 }
-
 # allow pomerium urls
 allow {
 	contains(input.url, "/.pomerium/")
diff --git a/authorize/evaluator/opa/policy/authz_test.rego b/authorize/evaluator/opa/policy/authz_test.rego
index 949ee0e2c..8230e133f 100644
--- a/authorize/evaluator/opa/policy/authz_test.rego
+++ b/authorize/evaluator/opa/policy/authz_test.rego
@@ -110,6 +110,36 @@ test_pomerium_denied {
 	}
 }
 
+test_cors_preflight_allowed {
+	allow with data.route_policies as [{
+		"source": "example.com",
+		"allowed_users": ["bob@example.com"],
+		"CORSAllowPreflight": true
+	}] with input as {
+		"url": "http://example.com/",
+		"host": "example.com",
+		"method": "OPTIONS",
+		"headers": {
+			"Origin": ["someorigin"],
+			"Access-Control-Request-Method": ["GET"]
+		}
+	}
+}
+test_cors_preflight_denied {
+	not allow with data.route_policies as [{
+		"source": "example.com",
+		"allowed_users": ["bob@example.com"]
+	}] with input as {
+		"url": "http://example.com/",
+		"host": "example.com",
+		"method": "OPTIONS",
+		"headers": {
+			"Origin": ["someorigin"],
+			"Access-Control-Request-Method": ["GET"]
+		}
+	}
+}
+
 test_parse_url {
 	url := parse_url("http://example.com/some/path?qs")
 	url.scheme == "http"
diff --git a/authorize/evaluator/opa/policy/statik.go b/authorize/evaluator/opa/policy/statik.go
index ca8d43a94..cee0f2638 100644
--- a/authorize/evaluator/opa/policy/statik.go
+++ b/authorize/evaluator/opa/policy/statik.go
@@ -10,7 +10,6 @@ import (
 const Rego = "rego" // static asset namespace
 
 func init() {
-	data := "PK\x03\x04\x14\x00\x08\x00\x08\x00\xcd\xb0\x9cP\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\n\x00	\x00authz.regoUT\x05\x00\x01\xe2\xa8\xa8^\xbcX_o\xdb6\x10\x7f\x16?\xc5\x95E\x01i\xd5\xe4\xb6\xc0\x06\xcc\x9b\x91\xf5a\xef\x03\x86=	\xaaJKg\x9b\x89D	$U\xdb\xf5\xfc\xdd\x87#%\xdbQl7M\xd3\xbeD\xd6\xf1\xeew\xbf\xfb\xa3#\x99V\x14wb\x89\xd065j\xd9\xd5\x89\xe8\xec\xea3c\xb2n\x1bm\xa1\x14V$\xba\xe9,\xe6mS\xc9B\xa2\xb9\xb7dVBc\x99\xdf\xe1\x96\xb1\x12\x17\xa2\xab,\x88\xaaj\xd60\x83\x85\xa8\x0c2\xf6\xb2\x17\xb4\xdd\xbc\x92\x05\xf3/;\x168T\x98\xce`!\xb5\xb1\xb9\x93c\x99;q(U\xdb\xd9\xa4\xd3U\xd4+\x1e\xdc\xa7\xee5K\xde\x93\xfe\xdf\x0e\xf3_E\xa4QYY\x08\x8b\xe5\xfb\xa2@c`6\x03\xab;d\xfb#\x85\xf9\x16\xb0\x16\xb2z\x02	\xdb\xdc\xa1JZ\xb1\xad\x1aQ&\x0e\x05fp\x9e\xda\x80\xd2\x19\xd4&\xcd\xb3\xc1\xfa\x93\xa8d\xc9\x82\xa2\xe9\x94\x0dKT\xdbh6{s\xcao\xa9\x9b\xae}\x029\xd3\xd4\xd8\x1b\x8f\x88:\xa1I\xdd#\xa3\x94\\g\xdc\xab\x7f\x05\xe5\xf9\x16d\xdd\xa26\x8d\x12\x16\x9f)\xbd'\x88\xf9wJ\xf5\x88\xf7\xf3g\xfe4\x86\x1fQ\x85\xb2\xa9\x85TO\x0d\xa1\xb7\x0e\\\xb6s\xa9r/\x08\xcf\xb4}\xfc\x05\xf6\xde\xd2\xa4\xfe\x99E_\x13\xc4iI~D@\x0f\x1a\xed\xbb\x057\xccW\xe8te\x8eA\x15\x8d\xb2\x04x\x0c \x06>I\x06\xed	\x8fX\xa0\x1a\x0bg\xf4N\xd5DYK\xc5#\xefP\xa3\xed\xb42`W\xe8s\x05\xb5\xb0\xc5J\xaa\xa5\x0f\x8e]L`N	\x1c\xbe\xb5{9\xf7y\x80\xff\xc0%\xd7\xbf\xfc\x0e\x17jp!\x89Q\x96\xbe\xc9\x88\xe2\x05\xcf18\x83m\xb4c\xc1A\x987\xf3[\"\xd0\nm\x90\x04'LYp\x0f)7M\xa7\x8b\x13@\xb2=\x80\x8e\x95[\x8d\x0b\xb9y\xac\xb2\xb0\xabG\xaaj\\\xe2E\xd8q\xf0\xd7)S\x05\x9a\xf9-\x166Y\xa2\x0d\xbd4\x06\xee\x8dx\x0c\x9cG4M8g\xfbg\xc7}\xe1p\x03/;_	o\x98x\x95hT\xb4d\xd5\x18K\xec\xee#8\xf1\xc3<\\\xad\xc6%\xbe\xde\xe8j\x1e\xbe\x1dw\xc8\x83\x15\xda\x9a\xb5\x1c\xf7AB\xad1 &\xde\xf2L\x9d\xaf4\xd0E\x16\xc2\xae\xae\xc7\xf6M\x98}\\\x03qaW\xe4\xe6al\x0fc\xb9\xd6\xe1\x97\x1c;\x9b\xab\xd1|+j\x1f\x8f\xc6\xdcM\xbb\xa19\x9dJ|&.W\xa4c/\x1b\xabi\xf2\xed\x80\x9bb\x855\xf2)\xf8\x1f1pjY>\x05z\x0c9\x9c\x82\xcb\xd8\x9e\x98\xa5y|\xd0\xf5:Z\xaci9\xa3QJ\xfe\x93\x85T%\x0d\xdc\xdcX-\xd527\xdd\xdc\xb1\xccU\xc8\x82\xe0cx3\x0dW\xd6\xb6\xa9\xc9n\xa2\xe9d\x12\xdd\x84\xe9\x87I\xf6:\n\xd3\x0f7/\xb3\x9f\xa2\x8f1\x0b\x02cu\x0co#\x1a\xa2\x81\xaf\x17\xa8F\xd7\xa2\x92\x9f\xfd\xe7\xe5\x1a\xa2\xf7\xed\xc2;\xb3\xdc\xc7\xc9'\x9c\xa8\x1b\xab\x0f\xe5\xb8\xacLZ\xbd\xf2\x8b^\x99\x8d\xf7\xd5~\xf7\xf4o\xae`\x1b\x1a\x16\xa6\xad\xa4\x1d\x16\xf9\x9f\xb4\x9d\xf9=r\xe3\xfa\xe0\x1d\x0b6\xe9[w$\xea7\xec\xfd\xf1\x1e\x81\x9bVj,\x8f7\x89A\xb0\xa3=q\x9d\x1b,\x1aU\x9a\xe9\xcc\xca\x1a\x13\x92(\x13F\x93\xb7\xf8\x1b\x0b\xd2\x15\x8a\x12u\x0c\xfdN\x1fC\x9e\x11\x1f\xd9$\xb7k\x9b\x94X4\xe5a\xc72\xa8#Ji\x7f\xc8\xd9\xb4\xf0\x07\x9c8\xf0\x9c\xd46\xe5n\xaf\x07i\x0e\xd4B\xdc\xb4\x11\xcfv,\xe8%\x07]\xd3j\xa9\xec\"\xecmV\xc2\xc0\\\x94 \xbaR\xa2*\x10B\xd1\x95\xd1\x14^\x19\xa0\xed]*x\xf5\xfa\x13\x8fS\xcf\xc8u\xd1\xc0Gte\x16\x91\x8b'\xc4D\xd8Xa\x8d\xcaR\xad*ilx\x82\x1b\x1f\xddE\xa7\x87\x15\xb2\xa60\xdd\xb1\xe2xX\x19#\xb9\x1b\xa0\xd311\x9c9)~\xe1tt\xee\xf0\xc3\xcf\x9ei\xd8K +P\x8d\xfa\xd9\x89\x1dC\x03\x0b\xdd\xd4 \xe8\xbaG\x87\x1b\xbf\xe2\xa6\x89\xe9\x0b6\x04By\xf0x\xd9\xee|V\x1e\x11\xcb\xa3\xe9\xfa\x92\xcf`\xc7{\x087.\xfa\x9aq\x97\x0c>\x05\xf7\xf4\x03\xc4\xfd\x8caT\xdf\x87\xc5\xcd?\xa1\x96\x8b-\xcd\x8cc\x99c\x82\x08\x02n\xb0\xd0Hs\xeax'\x8f\xdd\x82\xe8\xc8\xddIg\xb1 \xd8\xb3\xc0Q%\x80\xe9\xec~\xbc$\xf3\xdf\xf7x\xc5\xdf\xee\xfc\xf5d\xbc\xe6\xa5\xcc\xc8\xa5\xc22\xbf]\xdb\xe9\xac\xe7\x8e\xcaq\xa7\x95p\xc7E\xb5\xe4S\xe0\x7f\xfd\xf3\xee\x97_\xf9~\x94\xeb\xb8\xff\xaf\x82\\*\x1a\x93w\xb8\x8d\x18c\xe3Z\xd1\x9f\xd8U\x90\x06\x0d\x00\xbd\xa79M[\x92\xb1=\xfb?\x00\x00\xff\xffPK\x07\x08\xe8\xb4\xfa\xee\x9d\x04\x00\x00\xd5\x10\x00\x00PK\x03\x04\x14\x00\x08\x00\x08\x00E\xb3\x9cP\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0f\x00	\x00authz_test.regoUT\x05\x00\x01\x82\xad\xa8^\xd4V[O\xe38\x18}N~E\x94'X\x95\xb6\x1bz\x99AB;\x05\n\xd3\xdbPHK[\x10\x8a\xdc\xc4$n\x938\xb5\x1dz\x19\xf5\xbf\xaf\xec\xf4\x12 \x1dR\x16	\xed\x13\x8a\xed\xef|\xe7\x9c\xefB\x03`\x8e\x81\x0d\x95\x00{\x90\xa0\xd0\xcb\x82\x909\x0bY\x1eM\x99\xe1@`A\xa2\x9c\x9c*\xbfeIe\xf3@=Q\xd4z\xaf\xa3fdI\x05\xae\xcd?\x7f\xeaZ\xb1\xa4\xcaK\x99\"\xdbG\xbem\x8c\xe1|\x1d1fs\xfe\x04\x9bLD\x8c\xf9\xc7\xf5\xf8\xd2\x9b\xb4\x1a\xdf\xbby\xcbk;\xad\xf3^\xfen0/]\x18\x04\xd4\x1b\xd3j\x9d\xb6\xac\xd9\xc4\xf2\xc3q\xc7Y\x8c\xf1\xf1\x85\xd1'\x149\xd3A5\x1f\xccHW\x0f\xbc|\xbdCz\xdaMP[\x14H\xe7\xefg\xab\xfa|?-\x95{\xed\xc2\x8cLFh:\xb7\xcam;hw.\x8a\xb3\xe7\x9b\xb3V\xb9Sk \xbd\x97\xefk\xb7\xf9\xe0ib\\\xd7\x18]\xb4on\xd9\xb0|\x87\x08\xd1\x87Wu\xd4\xfc\xa5\x1f\xfd\xaa\xb7Zdp\xd7\xe8\xf5Xwx\xa7w\xfa\xd5Q\xb3|g^NZ\xcdb\x1b\xe9\xb0\xdc\xbf\xf0\xe6\xe7\xf7\xa3\xc0\xae\x06O\xd5\xe2\xcd7mQ\x83\xfd\x96F\x9bdQ\xfa\xd9\xd3*\xdfk\xd3\xabq\xd9\xeb\xe9y\xb3X\xbe5\xb4\xfa\xd5\xfc\xf2Zc\xe7\x95\xc2\xa2Z\x1b8\xbd\xe7f\xb5\xa4]S\x8d\xdd\x97\x06\x84L\xad\xb3o\xfeqq\xe4\xb6\x03\xbb[-\x05\xb8\xfa\\\xebjy\xb7\xdd\x04\xd8\xc4\x8b\xfe\xa05\xa9\x8c\xc3\xa3F\xddwq\xdd\xad,\x1a\xb6\xd6\x07F\x1e\xe9H\xb7\xf5J\xe8\xcd\n\x85\xb3c\xbf|q3\xb2\x8fGm\xe7\xd6\x16\x05p\x00\x81\xd6\xda\xff!\xa0\xb0T\x08\x89\x9b\xb5\xa0\x89-x\x10\xabOv|(\xcb\x0cRf@\x0f \xd7\x00\xae\x8b\xa7\xd0\xe25\x0biTp\x84\xb3\xa3)\xcbB\x9f\xc7\x1a<\xf6`\xdb\x11\x19\xfeRRAh\xa9'\xca\x83\ng\xc0\x0b\\\x985\xb1\xa7>f\xf8\x8d\x80\xe5\xd5\x1ea\xf8#~-K\xcb\x8c\x12cr(\xcb\x92\xc8\xaeL\x11s\x14\x0b0\x90%8d\xd0\x08\xb0\x8bL\x04\xa9\x02\xa8\xf2 \xd2Q\x1c\x12\x13r\xd48\xa2\xc8\xb7\x12`p\xf6Tpz\x9d\xf8Q\x96\x96\x8f\xb1$\xf1n\x054N)\xfeh\xeb(\x7f\xb3\xfd\x12O\x90\x1f\x84\x8c_\x08v!\x11\x82\x1d\xc6\x82\x93\\\xee\x0dC\x07S\x96H\x9dSVO\x14\xfeG\x96\x96\xf2r]\x98\xe8\xdd\x97\x94D\xf21SRTE\x96$\x9e4^\x99\x1d\xf2%5\x00\xcc\xe1\x0fr`u\xb0.\x99\x85=\x80|\xfa\x96\xb5,I\xcb\xcc\x87R\x0c_\xa5\xd8v\x85\x8f\xb1\x0f\x7flV]<\xcf\xd74\xc7\x8a\xeb\xfe\xed!\xe6\xd6\x82>\xfa\xb2\xb1M\xd9$\xfb\x8f\xee\x10\x0f\xff\xd7\xa3\x1b\x84C\x17\x99\xf1\xa5\xfa	6U8D[ w}\xfe/\x1a\xfa\x0c\x99\x80A\xabb\x9a\x90r\xe7\x18	\xe1\xd6\xaa\xff,1\x92\x14W\xb4m\xb7\x94\xb5O\x98\xde\x84\xb1%\xf0	\xcd\xa2\xc1\x9d\x1f	Ow\x8doBg$\xef\x88\xb7YR\xfb'-7\xbb \xa5\x85/h\xff\xc1\xca\x95\x97\xab\xe5\xf3\xc9\xfd\x91\xca\xac={#\x97]\x93\xcd\xbd\xa7\xed\xa5\xb4\xbd\x1b\xe5\x8b\xd5\x01\xcbC\xfe{\x12W\x1a\x01\xa1\xd0\x08\x89+\xb6.q\xf9\xd2\xdd\x9c\x1d$\xa5\xa1\xd8\x839\xfe\xbf\xe9\x9f	U\x0fEP\x96\x9a\x0e\xf4\xa0rz\x1a\x11S\xa3S\x9e[\x9c\xbdL\xce\xafx\xbc\xb8\xda\xc2\xa9\x1bNkw\"c#\x1b7m\xb5>O\xe2\xa6f\x94\xdf;l_\x1e\xee\x1f\x9f\xf0\xe0\xa30\xf4#8\xb9\xcf\x02z\x1f'\x97\x0e(\x05\xa3\x08i3';\xd10\xb1\xff\\\xae\xe4n\x88\xb6k\xfan\x88m\xe3\x94\x12\xc5\xf0\x88\xb6\x14]\xf9\n$\x1a\xadt\x12\x138l\xc2w\xa8\xe3c\x91^\xdb\xfa\x07bJe	A\xa9D$Z\xb2\xf9\xfd\xfb\x11C\xde\x04'\xdbA\xa0\x0d\xf7\xa8\xb5x\xceq\xb3\x7f\xa5t$A\xd8\x06du\xb9\xc2J/n\x03\xf00\x9b/\x1e#q\xff\x06\x00\x00\xff\xffPK\x07\x08\xa6?V\xfb\n\x04\x00\x00\x95\x10\x00\x00PK\x01\x02\x14\x03\x14\x00\x08\x00\x08\x00\xcd\xb0\x9cP\xe8\xb4\xfa\xee\x9d\x04\x00\x00\xd5\x10\x00\x00\n\x00	\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa4\x81\x00\x00\x00\x00authz.regoUT\x05\x00\x01\xe2\xa8\xa8^PK\x01\x02\x14\x03\x14\x00\x08\x00\x08\x00E\xb3\x9cP\xa6?V\xfb\n\x04\x00\x00\x95\x10\x00\x00\x0f\x00	\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa4\x81\xde\x04\x00\x00authz_test.regoUT\x05\x00\x01\x82\xad\xa8^PK\x05\x06\x00\x00\x00\x00\x02\x00\x02\x00\x87\x00\x00\x00.	\x00\x00\x00\x00"
+	data := "PK\x03\x04\x14\x00\x08\x00\x08\x00\x05\xa2\xa8P\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\n\x00	\x00authz.regoUT\x05\x00\x01\x0b\xbe\xb5^\xbcX_o\xdb6\x10\x7f\x16?\xc5\x95E\x01iU\xe4\xb6\xc0\x06\xcc\x9b\x97\x15\xc5\x1e\xf6\xb0\xa5h\xb7'AUi\x89\xb6\x98H\xa4FR\x8d]\xcf\xdf}8R\xb2\x1d\xc7v\xd3$\xebK\x14\x1d\xef~\xfc\xdd\x1f\xdd\x91nYq\xc5\xe6\x1cZ\xd5p-\xba&a\x9d\xad>\x13\"\x9aVi\x0b%\xb3,\xd1\xaa\xb3<oU-\n\xc1\xcd\x8d%S1\xcd\xcb\xfc\x8a/	)\xf9\x8cu\xb5\x05V\xd7\xea\x1a&0c\xb5\xe1\x84<\xed\x05m7\xadEA\xfc\xcb\x8a\x04\x0e\x15\xc6\x13\x98	ml\xee\xe4\xbc\xcc\x9d8\x14\xb2\xedl\xd2\xe9:\xea\x157\xdb\xa7\xee5K^\xa3\xfe[\x87\xf9\xb7D\xd2\\ZQ0\xcb\xcb\xd7E\xc1\x8d\x81\xc9\x04\xac\xee8Yo)\x14J\x1bh5\x9f\xd5b^\xd9G\xa3\xf2\xe6\xe2\xdd{Og\x80\xdel\x1ex\xeb\x86\xdbJ\x95(\xa5\x17o\xff\xfa\xfd\xe2\xcf\xf7\x94\x04\x85\xea\xa4\x0d\xd5\xf4\x92\x176\x99s\xdb\xefTqVrmb\xa0\xde\x91\xb37JZ\xad\xea\xb3w\xfc\x9f\x8e\x1b{\xf6\x87\x03\xa31\xa4Y\x14\xc1/\xf0\xe2\x0eP\x17Z\xcc\x85\xdc\xb5Y\x93m\\\xa6K\xe0\x0d\x13\xf5=\"b\xd5\x15\x97I\xcb\x96\xb5be\xe2P`\x02\x87\xe34\xa0t\x86k\x93\xe6\xd9`\xfd\x89\xd5\xa2\x1c\x9c(\xb9\\F\x93\xc9\x8b\xdd\xbc\xcd\xb5\xea\xda{\x903\xaa\xe1\xbd\xf1\x1eQ'4\xa9{d\x98\x97\xd3\x8c{\xf5\xaf\xa0<]\x82hZ\xae\x8d\x92\xcc\xf2G\n\xef\x0eb\xfe?\x85z\x8f\xf7\xe3G~\xd7\x87o\x91\x85R5L\xc8\xfb\xba\xd0[\x07.\xda\xb9\x90\xb9\x17\x84\x07\xca>\xfe\x02{oiR\xff\xcc\xa2\xafqb7%\xdf\xc2\xa1[\x85\xf6\xd8\xcem\x86B?v\xa0\xd3\xb5\xd9\xfaT(i\x11o\xcb?\x06:J\x06\xed\x11\x8dH \x95\x85\x03z\xbbj\xacl\x84\xa4\x91\x0f\xa6\xe6\xb6\xd3\xd2\x80\xad\xb8\x0f\x154\xcc\x16\x95\x90s\xef\x1b9\x1a\xbf\x1c\xe37|j7B\xee\xc3\x00\xff\x82\x8b\xad\x7f\xf9	\x8e\xa4\xe0H\x0c\xa3,}\x91!\xc5#;\xc7\xe0\x0c\x96\xd1\xaa\x9f&(\xcc\xd5\xf4\x12	\xb4L\x1b\x8e\x82\x1d\xa6$\xb8\x81\x94\x1b\xd5\xe9b\x07\x10m7\xa0\xfb\xca8\x1d\xc5\xe2\xae\xca\xccVwT\xd5|\xce\x8f\xc2\xee;\x7f\x9a2f`g\xd4yi\x0c\xd4\x1b\xd1\x18(\x8d\xdc\xa8\xa5d\xfd\xe8\xb8O\x1cn\xe0e\x873\xe1\x0d\x13\xaf\x12\xed%-\xa9\x94q\xc7\x83\x9b\x08N|;\x0e'\xb3q\x8c\xaf7:\x19\x87\x87\xe3\x0eq\xb0L[s-\xf6\xeb \xc1\xd2\x18\x10\x13oy \xcf'\n\xe8(\x0bf\xab\xd3\xbe=\x08\xb3\xf7k \xcel\x85\xdb\xdc\xf6\xed\xb6/\xa7*\xfc\xd8\xc6\xce\xe6\xa47\x0fE\xed\xfd\xd1<w\xddn(N\xa7\x12\x1f\xf0\xcb%i[\xcb\xc6j\xec|+\xa0\xa6\xa8x\xc3\xe9\x18\xfc?1P,Y:\x06|\x0c1\x1c\x83\x8b\xd8\x1a\x99\xa5y\xbc\xd1\xf5:\x9a]\xe3r\x86\xad\x14\xf7OfB\x96\xd8psc\xb5\x90\xf3\xdctS\xc72\x97!	\x82\x8f\xe1\xf98\xac\xacmS\x93\x9dG\xe3\xd1(:\x0f\xd3\x0f\xa3\xecy\x14\xa6\x1f\xce\x9ff\xdfE\x1fc\x12\x04\xc6\xea\x18^F\xd8D\x03\x9f/\x90J7\xac\x16\x9f\xfd\xe7\xe5\n\xa2\xdf\xdb\xb9w`\xb9\xf7\x93\x8e(R7Vo\xd2q\\\x19\xb5z\xe5'\xbd2\xd9\x1f\xab\xfd\xf0\xf4o.a\x0bl\x16\xa6\xad\x85\x1d\x16\xe9\xaf8\xce\xfc\x88\\\xb8:xE\x82E\xfa\xd2\x9d\x88\xfay\xbd\xde^\xaf\xf8\xa2\x15\x9a\x97\xdb\x0b\xd6 X\xe1L\xbc\xce\x0d/\x94,\xcdxbE\xc3\x13\x94H\x13F\xa3\x97\xfcG\x12\xa4\xfeF\x10C?\xe8c\xc83\xe4#Trym\x93\x92\x17\xaa\xdcL,\xc3u\x84!\xed\xcf8\x8b\x16~\x86\x9d\x0d<'\xb9L\xa9\x1b\xf5 \xcc\x86Z\xc8\x17mD\xb3\x15	z\xc9F\xd7\xb4ZH;\x0b{\x9b\x8a\x19\x98\xb2\x12XW\n.\x0b\x0e!\xeb\xcah\x0c\xcf\x0c\xe0x\x17\x12\x9e=\xffD\xe3\xb4\xbf\xce`\x15\x0d|XWf\x11nq\x0f\x9f\x10\x9b\xd7\xbc\xe1\xd2b\xaejal\xb8\x83\x1bo\xb7\x8bv\x0fbh\x8dn\xbac\xc5\xf6\xb0\xb2\x8f\xe4.\xc6N\xc7\xc4p\xe0\xa0\xf8\x85\xc3\xd1\xa1\xc3\x0f=x\xa6!O\x01\xad@*y\xe6\xc4\x8e\xa1\x81\x99V\x0d0\xbc<\xe2\xe1\xc6\xaf\xb8nb\xfa\x84\x0d\x8e`\x1c<^\xb6:\x1c\x95;\xf8rg\xba>\xe5\x13X\xd1\x1e\xc2\xb5\x8b>g\xd4\x05\x83\x8e\xc1=}\x03q\xff\xc6\xb0\x97\xdf\xdb\xc9\xcd?q-fK\xec\x19\xdb4\xc7\x08\x11\x04\xd4\xf0Bs\xecS\xdb\x9f*b\xb7\xc0:\xdcn\xa7\xb2H\x10\xacI\xe0\xa8\"\xc0xr\xd3_\x94\xf9\xef{\x7f\xc5_\xee\xfc\xedd\x7f\xcdK\x89\x11s\xc9\xcb\xfc\xf2\xda\x8e'=w.\x1dw\\	W\x94\xd5s:\x06\xfa\xdb\xfbW\xdf\xff@\xd7{\xb1\x8e\xfb\x1f[\xc4\\b\x9b\xbc\xe2\xcb\x88\x10\xb2\x9f+\xfc\x13\xbb\x0cb\xa3\x01\xc0\xf74\xc7n\x8b2\xb2&\xff\x05\x00\x00\xff\xffPK\x07\x08\xc9\xac\x1e\xe7\x01\x05\x00\x00\xec\x11\x00\x00PK\x03\x04\x14\x00\x08\x00\x08\x00\x07\xa2\xa8P\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0f\x00	\x00authz_test.regoUT\x05\x00\x01\x0f\xbe\xb5^\xd4W[s\xda:\x17}\xb6\x7f\x85\xc7O\xcd7\xdc>\x87K\x9b\x99\xce)Mh\xca\xad\x10\x0c\x01\x9a\xc9x\x84\xad\xda\x02\xdb2\x92\x1c.\x1d\xfe\xfb\x19\xc9\\\x9c\xc4ILN\xe6\xe4\xf4\x89\xb1\xb5\xb5\xf7Z{\xad-\x8b\x00\x983`C%\xc0\x1e$(\xf4r d\xceZ\x96\xa7\x0bf8\x10X\x90(g\x9f\x95\xdf\xb2\xa4\xb2U\xa0\x9e)jc\xd8W3\xb2\xa4\x02\xd7\xe6\x8f\xdfu\xadTV\xe5\x8dL\x91\xed#\xdf6fp\xb5\xdb1c+\x1e\x82M&v\xcc\xf8Cg\xf6\xcd\x9b\xb7\x9b\x9f\x06\x05\xcb\xeb:\xed\xf3a\xe1z\xbc*_\x18\x044\x9a\x8bZ\x83\xb6\xad\xe5\xdc\xf2\xc3Y\xdfY\xcf\xf0\xe9\x851\"\x149\x8bq\xad\x10,\xc9@\x0f\xbcB\xa3O\x86\xdaUP_\x17I\xff\xffwV\xed\xee\xe7\xa2\\\x19v\x8bK2\x9f\xa2\xc5\xca\xaat\xed\xa0\xdb\xbf(-\xef\xae\xbe\xb6+\xfdz\x13\xe9\xc3\xc2H\xeb\x15\x82_s\xa3Sgt\xdd\xbd\xea\xb1I\xe5\x1a\x11\xa2O.\x1b\xa8\xf5C\xcf\xfeh\xb4\xdbd|\xdd\x1c\x0e\xd9`r\xad\xf7G\xb5i\xabrm~\x9b\xb7[\xa5.\xd2aet\xe1\xad\xce\x7fN\x03\xbb\x16\xfc\xaa\x95\xae>j\xeb:\x1c\xb55\xda\"\xeb\xf2\xf7\xa1V\xfdT_\\\xce*\xdeP/\x98\xa5J\xcf\xd0\x1a\x97\xabo\x1d\x8d\x9dW\x8b\xebZ}\xec\x0c\xefZ\xb5\xb2\xd6\xa1\x1a\xfbY\x1e\x13\xb2\xb0\xbe~\xf4OKS\xb7\x1b\xd8\x83Z9\xc0\xb5\xbb\xfa@+\xb8\xdd\x16\xc0&^\x8f\xc6\xedyu\x16f\x9b\x0d\xdf\xc5\x0d\xb7\xban\xda\xda\x08\x18\x05\xa4#\xdd\xd6\xab\xa1\xb7,\x16\xbf\x9e\xfa\x95\x8b\xab\xa9}:\xed:=[\x08\xe0\x00\x02\xad]\xff'\x80\xc2r1$n\xce\x82&\xb6\xe0\x87\x98>\xb9\xd9\x89,3H\x99\x01=\x80\\\x03\xb8.^@\x8bk\x16\xd2Hp\x84s\xd3\x05\xcbA\x9f\xef5\xf8\xde\x0f\x07Gdx\xa4\xa4\x82\xd0R\xcf\x94\x1b\x15.\x81\x17\xb80gbO\xbd\xcd\xf0\x15\x91\x96\xab=\xc5\xf0K|Y\x966\x19%\x86\xe4D\x96%Q]Y \xe6(\x16` Gp\xc8\xa0\x11`\x17\x99\x08R\x05P\xe5F\x94\xa38$&\xe4Y\xe3\x19E\xbd-\x01\x83\xa3\xa7\x02\xd3\xc3\xc2\xb7\xb2\xb4\xb9\x8d\x15\x89\xbb\x15\xd08\xa4x\xd0\xa1\xa3<\xe6\xf0$B\x90\x1f\x84\x8c/\x08t!\x11\x84\x1d\xc6\x82\xb3|\xfe\x11B\x07S\x96\x08\x9dCV\xcf\x14\xfe#K\x1by\xb3\x13&\x8a{\x17I$\x1f3%\x85*\xb2$\xf1\xa2qe\x9e\xa0/\xa9\x01`\x0e\x0f\xc8\x83\xed\x8b\x9dd\x16\xf6\x00\xf2\xe9c\xd4\xb2$m2\xaf*1yP\xe2\xe0\n\x1fc\x1f~\xd9\x1fu\xf1:\xefc\x8e-\xd6\xe3\xed!\xe6\xd6\x82>z\xb7\xb1Mi\x92\xe3Gw\x82'\x7f\xf4\xe8\x06\xe1\xc4Ef\xfcP}\x836Uy\x8a\xae\xc8<\xf0\xf9'\x1a\xfa\x0c\x99\x80A\xabj\x9a\x90\xf2\xce1\x12\xc2C\xab\xfe1\xc5\x88R\x9c\xd1\xc1n)\xb5O\x98\xde\x84\xb1%\xf0\x17ZF\x83\xbb\xca\x8a\x9e>5\xbe	\xceH>#\x1eWI\xdd?i\xb3?\x0bR\xb6\xf0\x1e\xecgZ\xb9\xed\xe5\xf6\xf0yc\x7f\xa4j\xd6\x91\xde\xc8\xe7v`\xf3/q\xbbO\xedh\xa3\xbc3;`y\xc8\x7f\x89b\xc4\xd1\xc4\x84\x1a\xdc\xb2.\xb2\x1d\xf6\xef\x8b(\xe2\xce;==2\xf4\x0e\xc8k\xc7\xff\x19a\xc5\x82\x07\x99\x83\xf9\xe7B\xedt\xfb\xf5\xce\x0f}\x1b/\xbe'\x1cb4y\x1d\x82l\xe4\x0b\xc4\x14{\x10G\x8f\xb7\xdb\xd1\x13\x03\x96=\xc7>#\xd8\xcd\xf6\xe0<\x84\x94e\xdb\xbb\xd47\xeae\xad\x1f\xcdr\xccL\x0f\x1a\xfdgX\xea\xbf\xd8\xcd\xedl\x02B\xa1\x11\x12W\xdc\x16\x88\xcb/\x0b\xfbw\x1f\x92\xb8\xf0\xd2y~\xa7\xfakN\xd5\x13\xb1)GM\x07zP\xf9\xfc9b\xafFo9_\xf1\xee\xfe\xd0\xf0%\xbe_,\x1d\xd2\xa9{L;	\"\xf5\"\xad\xf6\x93\xb4{\x9f\x84M\xcd(\xbf\x9f\xd0vsr\xfc\xfe\x84\x80\xd7\xa6\xa1\xaf\xc9\x93\x7f\xabD/\xe7\xc9\xa7K\x94\x02Q\x94i?\x8cOf\xc3\xc4~^\xaed7D\xb7\x82\xf4n\x88\xdd\"RR\x14\x87\xbe\xb0\xa5p\xe5\x83$\xd1'!\x1d\xc5\x04\x0c\xfb\xedO\xb0\xe3c\x91\x9e\xdb\xee\x8fMJf	\x9bR\x91Hl\xc9\xfe\x7f\xdbk\x1a\xf2hsr;\x08\xb4\xe1\x11Z\x8bp\x9e7\xf7\xbf\x94\x1dI \xb6O\xb2]\xdc\xe6JOn\x9f\xe0f\xb9Z\xdfF\xe4\xfe\x0e\x00\x00\xff\xffPK\x07\x08\x92\xac+\xdev\x04\x00\x00M\x13\x00\x00PK\x01\x02\x14\x03\x14\x00\x08\x00\x08\x00\x05\xa2\xa8P\xc9\xac\x1e\xe7\x01\x05\x00\x00\xec\x11\x00\x00\n\x00	\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb4\x81\x00\x00\x00\x00authz.regoUT\x05\x00\x01\x0b\xbe\xb5^PK\x01\x02\x14\x03\x14\x00\x08\x00\x08\x00\x07\xa2\xa8P\x92\xac+\xdev\x04\x00\x00M\x13\x00\x00\x0f\x00	\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb4\x81B\x05\x00\x00authz_test.regoUT\x05\x00\x01\x0f\xbe\xb5^PK\x05\x06\x00\x00\x00\x00\x02\x00\x02\x00\x87\x00\x00\x00\xfe	\x00\x00\x00\x00"
 		fs.RegisterWithNamespace("rego", data)
 	}
-	
\ No newline at end of file
diff --git a/authorize/grpc.go b/authorize/grpc.go
index 7ad4b9e07..4c7ccce6e 100644
--- a/authorize/grpc.go
+++ b/authorize/grpc.go
@@ -55,6 +55,7 @@ func (a *Authorize) Check(ctx context.Context, in *envoy_service_auth_v2.CheckRe
 	// request
 	evt = evt.Str("request-id", hattrs.GetId())
 	evt = evt.Str("method", hattrs.GetMethod())
+	evt = evt.Interface("headers", hdrs)
 	evt = evt.Str("path", hattrs.GetPath())
 	evt = evt.Str("host", hattrs.GetHost())
 	evt = evt.Str("query", hattrs.GetQuery())
diff --git a/internal/middleware/cors.go b/internal/middleware/cors.go
deleted file mode 100644
index dcd35cfd0..000000000
--- a/internal/middleware/cors.go
+++ /dev/null
@@ -1,26 +0,0 @@
-package middleware
-
-import (
-	"net/http"
-
-	"github.com/pomerium/pomerium/internal/telemetry/trace"
-)
-
-// CorsBypass is middleware that takes a target handler as a paramater,
-// if the request is determined to be a CORS preflight request, that handler
-// is called instead of the normal handler chain.
-func CorsBypass(target http.Handler) func(next http.Handler) http.Handler {
-	return func(next http.Handler) http.Handler {
-		return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
-			ctx, span := trace.StartSpan(r.Context(), "middleware.CorsBypass")
-			defer span.End()
-			if r.Method == http.MethodOptions &&
-				r.Header.Get("Access-Control-Request-Method") != "" &&
-				r.Header.Get("Origin") != "" {
-				target.ServeHTTP(w, r.WithContext(ctx))
-				return
-			}
-			next.ServeHTTP(w, r.WithContext(ctx))
-		})
-	}
-}
diff --git a/internal/middleware/cors_test.go b/internal/middleware/cors_test.go
deleted file mode 100644
index f1ea60c92..000000000
--- a/internal/middleware/cors_test.go
+++ /dev/null
@@ -1,56 +0,0 @@
-package middleware
-
-import (
-	"fmt"
-	"net/http"
-	"net/http/httptest"
-	"testing"
-)
-
-func someOtherMiddleware(s string) func(next http.Handler) http.Handler {
-	return func(next http.Handler) http.Handler {
-		return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
-			w.Header().Set("Some-Other-Middleware", s)
-			next.ServeHTTP(w, r)
-		})
-	}
-}
-func TestCorsBypass(t *testing.T) {
-	t.Parallel()
-	fn := http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
-		w.Header().Set("Content-Type", "text/plain; charset=utf-8")
-		fmt.Fprint(w, http.StatusText(http.StatusOK))
-		w.WriteHeader(http.StatusOK)
-	})
-
-	tests := []struct {
-		name       string
-		method     string
-		header     http.Header
-		wantStatus int
-		wantHeader string
-	}{
-		{"good", http.MethodOptions, http.Header{"Access-Control-Request-Method": []string{"GET"}, "Origin": []string{"localhost"}}, 200, ""},
-		{"invalid cors - non options request", http.MethodGet, http.Header{"Access-Control-Request-Method": []string{"GET"}, "Origin": []string{"localhost"}}, 200, "BAD"},
-		{"invalid cors - Origin not set", http.MethodOptions, http.Header{"Access-Control-Request-Method": []string{"GET"}, "Origin": []string{""}}, 200, "BAD"},
-		{"invalid cors - Access-Control-Request-Method not set", http.MethodOptions, http.Header{"Access-Control-Request-Method": []string{""}, "Origin": []string{"*"}}, 200, "BAD"},
-	}
-	for _, tt := range tests {
-		t.Run(tt.name, func(t *testing.T) {
-			r := &http.Request{
-				Method: tt.method,
-				Header: tt.header,
-			}
-			w := httptest.NewRecorder()
-			target := fn
-			got := CorsBypass(target)(someOtherMiddleware("BAD")(target))
-			got.ServeHTTP(w, r)
-			if status := w.Code; status != tt.wantStatus {
-				t.Errorf("TestCorsBypass() error = %v, wantErr %v\n%v", w.Result().StatusCode, tt.wantStatus, w.Body.String())
-			}
-			if header := w.Header().Get("Some-Other-Middleware"); tt.wantHeader != header {
-				t.Errorf("TestCorsBypass() header = %v, want %v", header, tt.wantHeader)
-			}
-		})
-	}
-}