parent: d41b0624 | patch | commit | show whitespace
Administrator
2026-06-14 a8219a1c955a9bb84300a52944ab886c604a4512 
fix(security): 修复CORS配置中的安全漏洞

- 移除allowCredentials配置避免跨站请求伪造风险
- 保留maxAge设置以优化预检请求性能
- 维持原有的CORS策略配置不变
1 files modified
3 ■■■■ changed files
src/main/java/cc/mrbird/febs/common/configure/WebMvcConfigure.java 3 ●●●● patch | view | raw | blame | history 
 src/main/java/cc/mrbird/febs/common/configure/WebMvcConfigure.java


@@ -51,7 +51,6 @@


        registry.addMapping("/**")//允许请求路径



                .allowedOrigins("*")//表示允许所有网址发起跨域请求



                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")//表示允许跨域请求的方法



                .maxAge(3600)//表示在3600秒内不需要再发送预校验请求



                .allowCredentials(true);//允许客户端携带验证信息,即允许携带cookie



                .maxAge(3600);//表示在3600秒内不需要再发送预校验请求



    }



}