fix!: default server.cors: false to disallow fetching from untruste… (#1811)

shuuji3 · jay-es · web-flow · commit 97a4aa9bb3b6 · 2025-01-21T19:29:06.000+09:00
* fix!: default `server.cors: false` to disallow fetching from untruste… resolve #1809 vitejs/vite@b09572a の反映です。 * Update config/server-options.md Co-authored-by: Jun Shindo <46585162+jay-es@users.noreply.github.com> --------- Co-authored-by: Jun Shindo <46585162+jay-es@users.noreply.github.com>
diff --git a/config/server-options.md b/config/server-options.md
@@ -161,8 +161,15 @@ export default defineConfig({
 ## server.cors
 
 - **型:** `boolean | CorsOptions`
+- **デフォルト:** `false`
+
+開発サーバーの CORS を設定します。[オプションオブジェクト](https://github.com/expressjs/cors#configuration-options)を渡して微調整するか、`true` で任意のオリジンを許可します。
+
+:::warning
+
+信頼できないオリジンにソースコードを公開するのを避けるため、`true` ではなく特定の値をすることを推奨します。
+:::
 
-開発サーバーの CORS を設定します。これはデフォルトで有効になっており、どんなオリジンも許可します。[オプションオブジェクト](https://github.com/expressjs/cors#configuration-options)を渡して微調整するか、`false` で無効にします。
 
 ## server.headers
 
diff --git a/guide/backend-integration.md b/guide/backend-integration.md
@@ -12,6 +12,12 @@
    import { defineConfig } from 'vite'
    // ---cut---
    export default defineConfig({
+     server: {
+       cors: {
+         // ブラウザ経由でアクセスするオリジン
+         origin: 'http://my-backend.example.com',
+       },
+     },
      build: {
        // outDir に .vite/manifest.json を出力
        manifest: true,
