CORS 配置不要一把梭星号

开发阶段把 CORS 配成 * 很方便，但生产环境不应该这么做。尤其是带 cookie 或鉴权头的接口，来源必须明确。

允许来源应该来自配置，不要写死在代码里。多环境部署时，本地、测试、生产域名通常不同。

AllowOrigins: []string{"https://www.example.com"},
AllowCredentials: true,

预检请求失败时，浏览器只给很模糊的错误。排查 CORS 要同时看请求方法、请求头、响应头和状态码。