优化 CORS_ALLOW_ORIGIN 逻辑：移除对 localhost 和 127.0.0.1 的强制放行

[L33Z22L11]

我的个人博客（开源项目）中配置了 Twikoo 的实例地址，通过设置 CORS_ALLOW_ORIGIN 限制来源。近期发现自己的 Twikoo 实例被其他人本地测试时调用，CORS_ALLOW_ORIGIN 配置未生效。

通过阅读源码发现，即使明确配置了 CORS_ALLOW_ORIGIN，Twikoo 仍会强制放行 localhost、127.0.0.1 等本地地址。若用户希望通过 CORS_ALLOW_ORIGIN 严格限制调用来源，本地测试地址的强制放行会绕过预期限制。当用户主动配置 CORS 时，框架应尊重配置而非默认覆盖。

建议解决方案
移除对本地地址的强制放行逻辑，或通过新增配置项（如 CORS_FORCE_ALLOW_LOCALHOST=false）允许用户关闭此行为。

附加信息

• 使用场景：开源博客项目需限制评论接口调用来源。
• 相关环境：Twikoo 版本 1.6.40，部署方式 Vercel。

[imaegoo]

一开始是阻止localhost的，但不懂cors还乱改设置导致无法重新进入设置页的小白实在是太多太多了，迫于压力只好放行了localhost以方便那些不会操作数据库的小白从本地清除这项配置。