feat(cors): 支持通配符和多源CORS配置

DataEraserC · DataEraserC · commit ad2b71941687 · 2025-11-01T14:18:49.000+08:00
- 添加对 "*" 通配符的支持，发送通配符响应头
- 支持逗号分隔的多个源配置
- 保留对本地地址的默认支持
- 维持现有HTTP方法和头部配置
- 保持凭证支持和最大年龄设置
diff --git a/file_classification_webapi/src/bin/utils/cors.rs b/file_classification_webapi/src/bin/utils/cors.rs
@@ -22,18 +22,39 @@ pub fn create_cors() -> Cors {
 
     if cors_enabled {
         log::info!("CORS 已启用，允许来源: {}", cors_origin);
-        Cors::default()
-            .allowed_origin(&cors_origin)
-            .allowed_origin(&format!("http://127.0.0.1:{}", port))
-            .allowed_origin(&format!("http://localhost:{}", port))
-            .allowed_methods(vec!["GET", "POST", "PUT", "DELETE"])
-            .allowed_headers(vec![
-                actix_web::http::header::AUTHORIZATION,
-                actix_web::http::header::ACCEPT,
-                actix_web::http::header::CONTENT_TYPE,
-            ])
-            .supports_credentials()
-            .max_age(3600)
+        
+        // 如果 cors_origin 是 "*"，则发送通配符响应头而不是在 allowed_origin 中使用 "*"
+        if cors_origin == "*" {
+            Cors::default()
+                .send_wildcard()
+                .allowed_methods(vec!["GET", "POST", "PUT", "DELETE"])
+                .allowed_headers(vec![
+                    actix_web::http::header::AUTHORIZATION,
+                    actix_web::http::header::ACCEPT,
+                    actix_web::http::header::CONTENT_TYPE,
+                ])
+                .supports_credentials()
+                .max_age(3600)
+        } else {
+            // 支持逗号分隔的多个源
+            let origins: Vec<&str> = cors_origin.split(',').map(|s| s.trim()).collect();
+            let mut cors = Cors::default();
+            
+            for origin in origins {
+                cors = cors.allowed_origin(origin);
+            }
+            
+            cors.allowed_origin(&format!("http://127.0.0.1:{}", port))
+                .allowed_origin(&format!("http://localhost:{}", port))
+                .allowed_methods(vec!["GET", "POST", "PUT", "DELETE"])
+                .allowed_headers(vec![
+                    actix_web::http::header::AUTHORIZATION,
+                    actix_web::http::header::ACCEPT,
+                    actix_web::http::header::CONTENT_TYPE,
+                ])
+                .supports_credentials()
+                .max_age(3600)
+        }
     } else {
         log::info!("CORS 已禁用，允许所有来源");
         Cors::default()
