喻勇祥
ee555af1a5
问题描述: - CORS配置使用origin: true允许所有来源 - 无法限制跨域访问,存在CSRF风险 - 生产环境应该只允许特定域名访问 修复内容: 1. 从环境变量ALLOWED_ORIGINS读取允许的来源列表 2. 支持多个域名配置(逗号分隔) 3. 实现origin验证回调函数 4. 默认允许所有(*),但在生产环境会发出警告 5. 记录并拒绝未授权来源的请求 配置示例: - 开发环境: ALLOWED_ORIGINS=* - 生产环境: ALLOWED_ORIGINS=https://yourdomain.com,https://www.yourdomain.com 影响范围: 跨域请求控制 测试建议: - 配置ALLOWED_ORIGINS后验证只有指定域名可以访问 - 生产环境使用*时应该看到警告日志 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>