From 0bec4c01294f078b2e1e00d96ee43c0bc182e006 Mon Sep 17 00:00:00 2001
From: mayiming <1627832236@qq.com>
Date: Tue, 4 Nov 2025 11:52:15 +0800
Subject: [PATCH] =?UTF-8?q?=E4=BF=AE=E6=94=B9=E8=B7=A8=E5=9F=9F=E9=85=8D?=
 =?UTF-8?q?=E7=BD=AE?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 server/middleware/cors/cors.go | 30 ++++++++++++++++--------------
 1 file changed, 16 insertions(+), 14 deletions(-)

diff --git a/server/middleware/cors/cors.go b/server/middleware/cors/cors.go
index 91a47419..3984b5e6 100644
--- a/server/middleware/cors/cors.go
+++ b/server/middleware/cors/cors.go
@@ -10,16 +10,15 @@ import (
 
 func CorsMiddleware(serverConfig *config.ServerConfig) gin.HandlerFunc {
 	return func(c *gin.Context) {
-		// 1. 打印配置的允许源（调试用）
-		fmt.Printf("允许的前端源配置：%v\n", serverConfig.AllowedOrigins)
-
-		// 2. 获取请求的Origin头
+		// 1. 获取请求的Origin头（跨域请求时浏览器会自动带上）
 		origin := c.Request.Header.Get("Origin")
 		fmt.Printf("当前请求源：%s\n", origin) // 调试用
 
-		// 3. 简化跨域逻辑：如果配置了*，直接允许所有源
+		// 2. 确定允许的Origin（核心修正）
 		allowOrigin := ""
 		hasWildcard := false
+
+		// 检查配置中是否有通配符*
 		for _, allowed := range serverConfig.AllowedOrigins {
 			if allowed == "*" {
 				hasWildcard = true
@@ -28,10 +27,13 @@ func CorsMiddleware(serverConfig *config.ServerConfig) gin.HandlerFunc {
 		}
 
 		if hasWildcard {
-			// 配置了*，直接设置为*（兼容所有源）
-			allowOrigin = "*"
+			// 若配置了*，且请求有Origin（跨域请求），则动态允许当前Origin
+			// （解决*与credentials冲突的问题）
+			if origin != "" {
+				allowOrigin = origin
+			}
 		} else {
-			// 没有*，精确匹配
+			// 没有*，精确匹配配置的允许源
 			for _, allowed := range serverConfig.AllowedOrigins {
 				if allowed == origin {
 					allowOrigin = origin
@@ -40,22 +42,22 @@ func CorsMiddleware(serverConfig *config.ServerConfig) gin.HandlerFunc {
 			}
 		}
 
-		// 设置跨域头
+		// 3. 设置跨域响应头（仅当确定了允许的Origin时才设置）
 		if allowOrigin != "" {
 			c.Writer.Header().Set("Access-Control-Allow-Origin", allowOrigin)
 		}
 		// 允许的方法（包含上传需要的POST）
 		c.Writer.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, PATCH")
-		// 允许的头（包含上传可能用到的Content-Type）
-		c.Writer.Header().Set("Access-Control-Allow-Headers", "Origin, Content-Type, Accept, Authorization, X-Requested-With,session_id")
-		// 允许携带凭证（如果前端需要）
+		// 允许的头（包含认证和内容类型）
+		c.Writer.Header().Set("Access-Control-Allow-Headers", "Origin, Content-Type, Accept, Authorization, X-Requested-With, session_id")
+		// 允许携带凭证（Cookie等，必须与具体Origin配合）
 		c.Writer.Header().Set("Access-Control-Allow-Credentials", "true")
-		// 预检请求缓存时间（24小时）
+		// 预检请求缓存时间（24小时，减少OPTIONS请求次数）
 		c.Writer.Header().Set("Access-Control-Max-Age", "86400")
 
 		// 4. 处理OPTIONS预检请求（上传文件前浏览器会先发这个请求）
 		if c.Request.Method == "OPTIONS" {
-			fmt.Println("收到OPTIONS预检请求，返回204") // 调试用
+			fmt.Println("收到OPTIONS预检请求，返回204")
 			c.AbortWithStatus(http.StatusNoContent)
 			return
 		}