喻勇祥 746539a067 🔒 修复CORS逻辑 - 正确处理同源请求 ...

问题：
- 第一次修复过于严格，拒绝了所有无Origin头的请求
- 导致浏览器的同源请求被拒绝，网站完全无法使用

修复方案：
- 允许无Origin头的请求（同源请求不触发CORS）
- 严格验证带Origin头的跨域请求（必须在白名单中）
- 拒绝所有未授权的跨域请求

文件修改：
- backend/server.js: 修正CORS中间件逻辑（第48-63行）

测试：
- 同源请求正常工作
- 恶意跨域请求被拒绝
- API返回正确的状态码（不再是500错误）

2025-11-18 17:08:22 +08:00

86 KiB

Raw Blame History

View Raw