fix!: default server.cors: false to disallow fetching from untruste…

resolve #1809

vitejs/vite@b09572a の反映です。

Author: shuuji3

config/server-options.md

@@ -147,8 +147,15 @@ export default defineConfig({
 ## server.cors
 
 - **型:** `boolean | CorsOptions`
+- **デフォルト:** `false`
+
+開発サーバーの CORS を設定します。どんなオリジンも許可します。[オプションオブジェクト](https://github.com/expressjs/cors#configuration-options)を渡して微調整するか、`true` で有効にします。
+
+:::warning
+
+信頼できないオリジンにソースコードを公開するのを避けるため、`true` ではなく特定の値をすることを推奨します。
+:::
 
-開発サーバーの CORS を設定します。これはデフォルトで有効になっており、どんなオリジンも許可します。[オプションオブジェクト](https://github.com/expressjs/cors#configuration-options)を渡して微調整するか、`false` で無効にします。
 
 ## server.headers
 

guide/backend-integration.md

@@ -12,6 +12,12 @@
    import { defineConfig } from 'vite'
    // ---cut---
    export default defineConfig({
+     server: {
+       cors: {
+         // ブラウザ経由でアクセスするオリジン
+         origin: 'http://my-backend.example.com',
+       },
+     },
      build: {
        // outDir に .vite/manifest.json を出力
        manifest: true,