fix: default server.cors: false to disallow fetching from untrusted origins (#597) (#995)

Co-authored-by: Rush Ali <[email protected]>

closes #597 #995

Author: mstelbrink

docs/config/server-options.md

@@ -146,8 +146,15 @@ export default defineConfig({
 ## server.cors
 
 - **Typ:** `boolean | CorsOptions`
+- **Standardwert:** `false`
+
+Konfigurieren Sie CORS für den Entwicklungsserver. Übergeben Sie ein [Optionsobjekt](https://github.com/expressjs/cors#configuration-options), um das Verhalten fein abzustimmen, oder `false`, um es zu deaktivieren. 
+
+:::warning
 
-Konfigurieren Sie CORS für den Entwicklungsserver. Dies ist standardmäßig aktiviert und erlaubt jeden Ursprung. Übergeben Sie ein [Optionsobjekt](https://github.com/expressjs/cors#configuration-options), um das Verhalten fein abzustimmen, oder `false`, um es zu deaktivieren.
+Wir empfehlen einen spezifischen Wert zu setzen anstelle der Verwendung von `true`, um zu Vermeiden, dass der Quellcode nicht vertrauenswürdigen Ursprüngen preisgegeben wird.
+
+:::
 
 ## server.headers
 

docs/guide/backend-integration.md

@@ -12,14 +12,20 @@ Wenn Sie eine benutzerdefinierte Integration benötigen, können Sie den Schritt
    import { defineConfig } from 'vite'
    // ---cut---
    export default defineConfig({
-     build: {
-       // generiert .vite/manifest.json in outDir
-       manifest: true,
-       rollupOptions: {
-         // Überschreibe den Standard-.html-Einstieg
-         input: '/path/to/main.js'
-       }
-     }
+      server: {
+        cors: {
+          // der Ursprung, auf welchen Sie mit dem Browser zugreifen
+          origin: 'http://my-backend.example.com',
+        },
+      },
+      build: {
+        // generiert .vite/manifest.json in outDir
+        manifest: true,
+        rollupOptions: {
+          // Überschreibe den Standard-.html-Einstieg
+          input: '/path/to/main.js'
+        }
+      }
    })
    ```