empty eef909c5dd feat: 实现可配置的 CORS 安全策略 ...

- 添加 getCorsConfig() 函数支持灵活的 CORS 配置
- 支持三种模式：禁用 CORS、白名单、允许所有来源
- 环境变量可覆盖 config.json 配置 (CORS_ENABLED, CORS_ALLOW_ALL, CORS_ORIGINS)
- config.json 默认使用白名单模式，仅允许 localhost
- 动态验证 Origin 头，不在白名单的请求不设置 CORS 头
- 添加 Vary: Origin 头支持 CDN 缓存

安全改进：
- 生产环境默认 allow_all=false，避免 CORS 通配符
- 白名单模式下，未授权来源的请求会被浏览器拒绝

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

2025-12-27 15:33:04 +08:00

3.4 KiB

Raw Blame History

View Raw