Update app.py

app.py

@@ -92,7 +92,6 @@ def get_managers():
     return jsonify(res.json().get("managers", []))
 
 
-
 FORWARD_HEADERS = {
     "User-Agent",
     "Accept",
@@ -121,21 +120,35 @@ def cors_proxy():
     if not url.startswith(("http://", "https://")):
         return "http または https のURLのみ使用できます", 400
 
-    # 必要なヘッダだけ転送
+    # 追加転送ヘッダ取得（例: send=x-games-flags,x-games-sdk-auth）
+    extra_headers = set()
+    send_param = request.args.get("send")
+    if send_param:
+        extra_headers = {h.strip() for h in send_param.split(",") if h.strip()}
+
+    # 転送対象ヘッダを動的に構築（小文字比較で安全に）
+    allowed_headers = {h.lower() for h in FORWARD_HEADERS}
+    allowed_headers.update(h.lower() for h in extra_headers)
+
     headers = {
         k: v for k, v in request.headers.items()
-        if k in FORWARD_HEADERS
+        if k.lower() in allowed_headers
     }
 
     # gzip 問題回避
     headers.pop("Accept-Encoding", None)
 
+    # url パラメータと send パラメータは転送しない
+    forward_params = request.args.to_dict(flat=True)
+    forward_params.pop("url", None)
+    forward_params.pop("send", None)
+
     resp = requests.request(
         method=request.method,
         url=url,
         headers=headers,
         data=request.get_data(),
-        params=request.args.to_dict(flat=True),
+        params=forward_params,
         timeout=30,
     )