feat: 实现可配置的 CORS 安全策略

- 添加 getCorsConfig() 函数支持灵活的 CORS 配置 - 支持三种模式：禁用 CORS、白名单、允许所有来源 - 环境变量可覆盖 config.json 配置 (CORS_ENABLED, CORS_ALLOW_ALL, CORS_ORIGINS) - config.json 默认使用白名单模式，仅允许 localhost - 动态验证 Origin 头，不在白名单的请求不设置 CORS 头 - 添加 Vary: Origin 头支持 CDN 缓存安全改进： - 生产环境默认 allow_all=false，避免 CORS 通配符 - 白名单模式下，未授权来源的请求会被浏览器拒绝 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
2025-12-27 15:33:04 +08:00
parent 3dccbcfed1
commit eef909c5dd
4 changed files with 90 additions and 8 deletions
--- a/.env.example
+++ b/.env.example
@@ -29,3 +29,8 @@ PM2_APP_NAME=droid2api
 # Cloudflare Tunnel Configuration (Optional)
 # Get token from: https://one.dash.cloudflare.com/ -> Networks -> Tunnels
 TUNNEL_TOKEN=
+
+# CORS Configuration (Optional, overrides config.json)
+# CORS_ENABLED=true
+# CORS_ALLOW_ALL=false
+# CORS_ORIGINS=https://app1.com,https://app2.com