🔒 修复命令注入漏洞并增强HTTPS配置

**安全修复：** - 修复命令执行语法错误（wmic命令字符串拼接） - 添加驱动器字母验证防止命令注入（仅允许A-Z） - 修复命令执行参数构造错误 **功能增强：** - 新增ENFORCE_HTTPS环境变量（强制HTTPS访问） - 更新.env.example添加ENFORCE_HTTPS配置说明 - 更新install.sh支持自动配置ENFORCE_HTTPS - 更新脚本自动为现有.env补充ENFORCE_HTTPS配置这些改进消除了命令注入风险并提供了更灵活的HTTPS策略控制。 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>
2025-11-25 01:17:32 +08:00
parent 2ba254b1b5
commit 3e4aae60cb
3 changed files with 46 additions and 1 deletions
--- a/backend/.env.example
+++ b/backend/.env.example
@@ -18,6 +18,10 @@ PORT=40001
 # 运行环境（production 或 development）
 NODE_ENV=production

+# 强制HTTPS访问（生产环境建议开启）
+# 设置为 true 时，仅接受 HTTPS 访问
+ENFORCE_HTTPS=false
+
 # 公开访问端口（nginx监听的端口，用于生成分享链接）
 # 标准端口(80/443)可不配置
 PUBLIC_PORT=80