Errores 403 del proxy inverso de Nginx en solicitudes POST

Estoy intentando configurar una pila de servicios en Docker: Unifi, PHP, Nginx y Certbot, donde Unifi y PHP son los servicios backend y Nginx los sirve en modo proxy inverso, mientras que Certbot se ejecuta periódicamente para obtener certificados SSL para Nginx. .

Lo tengo prácticamente funcionando; Todas las solicitudes GET funcionan y puedo ver la página que sirve Unifi. Sin embargo, todas y cada una de las solicitudes POST a través de AJAX arrojan un error 403 debido a CORS.

Ahora, no estoy muy familiarizado con cómo manipular los encabezados CORS o qué está causando el error. ¿Es el navegador, Nginx o unifi? Sin embargo, Nginx es todo lo que puedo cambiar la configuración.

Este es el error que recibo en todas las solicitudes de publicación AJAX, desde el inspector del navegador/monitor de red:

POST
scheme                    https
host                      example.com:8443
filename                  /api/stat/device
Address                   (server_ip_address):8443
Status                    403 Forbidden
Version                   HTTP/2
Transferred               141 B (0 B size)
Referrer Policy           strict-origin-when-cross-origin
    
    
RESPONSE HEADERS    
content-length            0
content-type              text/plain
date                      Fri, 17 Sep 2021 00:59:09 GMT
server                    nginx
X-Firefox-Spdy            h2
    
    
REQUEST HEADERS 
Accept                    application/json, text/plain, */*
Accept-Encoding           gzip, deflate, br
Accept-Language           en-US,en;q=0.5
Connection                keep-alive
Content-Length            0
Cookie                    unifises=(random token here); csrf_token=(random token here)
DNT                       1
Host                      example.com:8443
Origin                    https://example.com:8443
Referer                   https://example.com:8443/setup/configure/controller-name
Sec-Fetch-Dest            empty
Sec-Fetch-Mode            cors
Sec-Fetch-Site            same-origin
TE                        trailers
User-Agent                Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 Firefox/92.0
X-Csrf-Token              (random token here)

Aquí está la configuración de Nginx:

# enbables GZIP compression
gzip on;

# compression level (1-9)
# 6 is a good compromise between CPU usage and file size
gzip_comp_level 6;

# minimum file size limit in bytes to avoid negative compression
gzip_min_length 256;

# compress data for clients connecting via proxies
gzip_proxied any;

# directs proxies to cache both the regular and GZIp versions of an asset
gzip_vary on;

# disables GZIP compression for ancient browsers
gzip_disable "msie6";

server {
    listen 80;
    listen [::]:80;

    server_name example.com;

    location ~ /.well-known/acme-challenge {
        allow all;
        root /var/www/certbot/;
        }
    # Redirect relevant Unifi paths Unifi Address and Port
    location / {
        rewrite ^ https://$host:8443$request_uri?;
    }
}
server {
    listen 8443 ssl http2;
        listen [::]:8443 ssl http2;

    server_name example.com;

    server_tokens off;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    ssl_buffer_size 8k;

    ssl_dhparam /etc/ssl/certs/dhparam-2048.pem;

    ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
    ssl_prefer_server_ciphers on;

    ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;

    ssl_ecdh_curve secp384r1;
    ssl_session_tickets off;

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 1.1.1.1 1.0.0.1 208.67.222.222 208.67.220.220;


    location / {

        add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Credentials' 'true';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';



        proxy_pass https://unifi:8443/;
        proxy_set_header Authorization "";
        proxy_pass_request_headers on;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Host $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Ssl on;
        proxy_http_version 1.1;
        proxy_buffering off;
        proxy_redirect off;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        auth_basic "Restricted";
        proxy_set_header Referer "";

    }
}

Me cansé de buscar más guías dentro y fuera de Stack Exchange de las que podía seguir, por eso mi configuración ahora está tan desordenada.

Entonces, ¿cómo modifico Nginx para atender las solicitudes XHR sin fallar debido a CORS?

Edición 1: agregué el puerto 443 a los puertos de escucha de Nginx junto con el 8443. Si accedo a Unifi a través de 443 y lo proxy a unifi:8443, funciona como se esperaba. Pero necesito que funcione de forma transparente en 8443.

Edición 2: intenté agregar otro contenedor Nginx "intermediario" con una configuración ligeramente modificada. Envié solicitudes al puerto 8443 en el contenedor Nginx original al segundo contenedor en el puerto 443, y lo envié a Unifi en 8443. El mismo resultado que no tener el proxy "hombre en el medio" como antes. Entonces Web -> Nginx en 8443 --> Nginx en 443 -> Unfi en 8443. Se eliminó esta configuración porque no funcionó y además es ineficiente.