vue-driven-cloud-storage

Author	SHA1	Message	Date
Dev Team	78b64b50ab	fix: 全面修复系统级统一OSS配置的12个关键bug ## 修复内容 ### 后端API修复（server.js） - 添加oss_config_source字段到登录响应，用于前端判断OSS直连上传 - 修复6个API未检查系统级统一OSS配置的问题： * upload-signature: 使用effectiveBucket支持系统配置 * upload-complete: 添加OSS配置安全检查 * oss-usage/oss-usage-full: 检查系统级配置 * switch-storage: 改进OSS配置检查逻辑 * 5个管理员API: storage-cache检查/重建/修复功能 ### 存储客户端修复（storage.js） - rename方法: 使用getBucket()支持系统级统一配置 - stat方法: 使用getBucket()替代user.oss_bucket - 重命名操作: 改用DeleteObjectCommand替代DeleteObjectsCommand * 修复阿里云OSS"Missing Some Required Arguments"错误 * 解决重命名后旧文件无法删除的问题 - put方法: 改用Buffer上传替代流式上传 * 避免AWS SDK的aws-chunked编码问题 * 提升阿里云OSS兼容性 - 添加阿里云OSS特定配置： * disableNormalizeBucketName: true * checksumValidation: false ### 存储缓存修复（utils/storage-cache.js） - resetUsage方法: 改用直接SQL更新，绕过UserDB字段白名单限制 * 修复缓存重建失败的问题 - 3个方法改用ossClient.getBucket()： * validateAndFix * checkIntegrity * rebuildCache - checkAllUsersIntegrity: 添加系统级配置检查 ### 前端修复（app.js） - 上传路由: 使用oss_config_source判断而非has_oss_config - 下载/预览: 统一使用oss_config_source - 确保系统级统一OSS用户可以直连上传/下载 ### 安装脚本优化（install.sh） - 清理并优化安装流程 ## 影响范围关键修复： - ✅ 系统级统一OSS配置现在完全可用 - ✅ 文件重命名功能正常工作（旧文件会被正确删除） - ✅ 存储使用量缓存正确显示和更新 - ✅ 所有管理员功能支持系统级统一OSS - ✅ 上传完成API不再有安全漏洞修复的Bug数量： 12个核心bug 修改的文件： 6个代码行数： +154 -264 ## 测试验证 - ✅ 用户2存储使用量: 143.79 MB（已重建缓存） - ✅ 文件重命名: 旧文件正确删除 - ✅ 管理员功能: 缓存检查/重建/修复正常 - ✅ 上传功能: 直连OSS，缓存正确更新 - ✅ 多用户: 用户3已激活并可正常使用	2026-01-20 22:23:37 +08:00
Dev Team	53ca5e56e8	feat: 删除SFTP上传工具，修复OSS配置bug 主要变更： - 删除管理员工具栏及上传工具相关功能（后端API + 前端UI） - 删除upload-tool目录及相关文件 - 修复OSS配置测试连接bug（testUser缺少has_oss_config标志） - 新增backend/utils加密和缓存工具模块 - 更新.gitignore排除测试报告文件技术改进： - 统一使用OSS存储，废弃SFTP上传方式 - 修复OSS配置保存和测试连接时的错误处理 - 完善代码库文件管理，排除临时报告文件	2026-01-20 20:41:18 +08:00
yuyx	efaa2308eb	feat: 全面优化代码质量至 8.55/10 分 ## 安全增强 - 添加 CSRF 防护机制（Double Submit Cookie 模式） - 增强密码强度验证（8字符+两种字符类型） - 添加 Session 密钥安全检查 - 修复 .htaccess 文件上传漏洞 - 统一使用 getSafeErrorMessage() 保护敏感错误信息 - 增强数据库原型污染防护 - 添加被封禁用户分享访问检查 ## 功能修复 - 修复模态框点击外部关闭功能 - 修复 share.html 未定义方法调用 - 修复 verify.html 和 reset-password.html API 路径 - 修复数据库 SFTP->OSS 迁移逻辑 - 修复 OSS 未配置时的错误提示 - 添加文件夹名称长度限制 - 添加文件列表 API 路径验证 ## UI/UX 改进 - 添加 6 个按钮加载状态（登录/注册/修改密码等） - 将 15+ 处 alert() 替换为 Toast 通知 - 添加防重复提交机制（创建文件夹/分享） - 优化 loadUserProfile 防抖调用 ## 代码质量 - 消除 formatFileSize 重复定义 - 集中模块导入到文件顶部 - 添加 JSDoc 注释 - 创建路由拆分示例 (routes/) ## 测试套件 - 添加 boundary-tests.js (60 用例) - 添加 network-concurrent-tests.js (33 用例) - 添加 state-consistency-tests.js (38 用例) - 添加 test_share.js 和 test_admin.js ## 文档和配置 - 新增 INSTALL_GUIDE.md 手动部署指南 - 新增 VERSION.txt 版本历史 - 完善 .env.example 配置说明 - 新增 docker-compose.yml - 完善 nginx.conf.example Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2026-01-20 10:45:51 +08:00
yuyx	ab7e08a21b	fix: 全面修复和优化 OSS 功能 ## 安全修复 - 修复 /api/user/profile 接口泄露 OSS 密钥的安全漏洞 - 增强 getObjectKey 路径安全检查（空字节注入、URL 编码绕过） - 修复 storage.end() 重复调用问题 - 增强上传签名接口的安全检查 ## Bug 修复 - 修复 rename 使用错误的 PutObjectCommand，改为 CopyObjectCommand - 修复 CopySource 编码问题，正确处理特殊字符 - 修复签名 URL 生成功能（添加 @aws-sdk/s3-request-presigner） - 修复 S3Client 配置（阿里云 region 格式、endpoint 处理） - 修复分页删除和列表功能（超过 1000 文件的处理） - 修复分享下载使用错误的存储类型字段 - 修复前端媒体预览异步处理错误 - 修复 OSS 直传 objectKey 格式不一致问题 - 修复包名错误 @aws-sdk/request-presigner -> @aws-sdk/s3-request-presigner - 修复前端下载错误处理不完善 ## 新增功能 - 添加 OSS 连接测试 API (/api/user/test-oss) - 添加重命名失败回滚机制 - 添加 OSS 配置前端验证 ## 其他改进 - 更新 install.sh 仓库地址为 git.workyai.cn - 添加 crypto 模块导入 - 修复代码格式和重复定义问题 - 添加缺失的表单对象定义 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2026-01-20 09:46:00 +08:00
Claude Opus	e8d053f28d	fix: 完善存储客户端实现并删除重复导入 - LocalStorageClient 和 OssStorageClient 添加 formatSize() 方法 - 删除 mkdir() 中重复的 PutObjectCommand 导入 - 统一使用共享的 formatFileSize() 函数 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2026-01-18 21:49:44 +08:00
Claude Opus	7aa8a862a4	chore: 优化代码质量和安全性\n\n- 删除未使用的 @aws-sdk/lib-storage 依赖，简化依赖\n- 修复重复导入 database 模块\n- 消除 formatSize 重复代码，提取为共享函数\n- 修复 verify.html XSS 漏洞，添加 HTML 转义\n- 更新 index.html 过时文案（断点续传→直连上传）	2026-01-18 20:23:39 +08:00
Claude Opus	2a4927f260	refactor: 优化代码重复和依赖导入 - ♻️ buildS3Config 复用 OssStorageClient.buildConfig (DRY 原则) - ♻️ 删除重复的 crypto 导入（3处） - ✅ 提高代码可维护性：配置逻辑只需在一处维护 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2026-01-18 18:27:43 +08:00
Claude Opus	92b70a11d7	refactor: 清理所有调试日志和死代码 - 🗑️ 删除未使用的依赖: net, dns 模块 - 🧹 将 console.log("[DEBUG]") 替换为 SystemLogDB.log() - 🧹 清理分享验证相关的调试日志 - 🧹 清理数据库查询的调试日志 - 🧹 删除下载功能的调试日志 - ✅ 代码更专业，日志统一使用 SystemLogDB Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2026-01-18 18:09:18 +08:00
Claude Opus	e2806126a6	fix: 修复管理员OSS配置缺失和数据库迁移问题 - 🐛 修复管理员无法配置OSS的问题（添加管理员OSS配置界面） - 🐛 修复 database.js 迁移代码引用不存在的 has_ftp_config 字段 - ✨ 管理员设置页面新增OSS配置、空间统计、存储切换功能 - 📝 完善管理员OSS配置体验 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2026-01-18 17:36:34 +08:00
Claude Opus	0b0e5b9d7c	feat: v3.1.0 OSS直连优化与代码质量提升 - 🚀 OSS 直连上传下载（用户直连OSS，不经过后端） - ✨ 新增 Presigned URL 签名接口 - ✨ 支持自定义 OSS endpoint 配置 - 🐛 修复 buildS3Config 不支持自定义 endpoint 的问题 - 🐛 清理残留的 basic-ftp 依赖 - ♻️ 更新 package.json 项目描述和版本号 - 📝 完善 README.md 更新日志和 CORS 配置说明 - 🔒 安全性增强：签名 URL 15分钟/1小时有效期 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>	2026-01-18 17:14:16 +08:00
yuyx	d3fcb159f9	🐛 修复文件名包含反引号时变成undefined的问题 - 从sanitizeInput正则表达式中移除反引号 - 之前map中没有反引号映射导致返回undefined 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-30 15:27:59 +08:00
yuyx	0e6230612c	🐛 加强文件名解码的空值处理 - 后端decodeHtmlEntities添加空字符串默认值 - 前端decodeHtmlEntities非字符串时返回空字符串 - getFileDisplayName增强类型检查 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-30 14:56:26 +08:00
yuyx	4250e7de2f	✨ 添加displayName字段显示解码后的文件名 - 后端返回文件列表时添加displayName字段（解码HTML实体） - 前端使用displayName显示文件名，保持原始name用于操作 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-30 13:54:58 +08:00
yuyx	e8c6043a1f	🐛 修复特殊字符文件名的处理问题 - 添加decodeHtmlEntities函数解码HTML实体 - 在rename/mkdir/folder-info/delete接口中解码文件名和路径 - 删除操作支持多候选路径，处理二次编码情况 - 移除sanitizeInput中对反引号的转义 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-30 13:44:23 +08:00
yuyx	962b01d05a	security: refreshToken 也存储在 HttpOnly Cookie 中 ## 后端修改 - 登录时同时设置 token 和 refreshToken 的 HttpOnly Cookie - refreshToken 有效期7天，token 有效期2小时 - 刷新接口优先从 Cookie 读取 refreshToken（向后兼容请求体） - 登出时同时清除两个 Cookie ## 前端修改 - 移除 refreshToken 变量和相关逻辑 - 简化 doRefreshToken()，不再手动传递 refreshToken - 简化 tryRefreshOrLogout()，直接尝试刷新 ## 好处 - 页面刷新后 refreshToken 不会丢失 - 完全无感刷新，用户体验更好 - 前端代码更简洁（减少约20行） - refreshToken 也无法被 XSS 窃取 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-30 10:38:40 +08:00
yuyx	d05e3a22f1	security: 实施 HttpOnly Cookie 鉴权方案 ## 后端修改 - 新增 /api/logout 接口清除认证 Cookie ## 前端修改 - 移除 localStorage 存储 token/refreshToken（防止 XSS 窃取） - 移除所有手动 Authorization 头（共36处） - checkLoginStatus 改为直接调用 API 验证（Cookie 自动携带） - logout 改为调用后端接口清除 Cookie - 简化 token 刷新逻辑 ## 安全性提升 - Token 从 localStorage 迁移到 HttpOnly Cookie - XSS 攻击无法通过 JS 读取 token - 配合 SameSite 属性防御 CSRF 攻击 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-30 10:33:27 +08:00
yuyx	4332057040	fix: 修复验证码session保存时序问题问题原因： - 验证码API在session.save()完成前就发送响应 - 导致客户端获取验证码图片时session可能未保存成功修复： - 将res.send()移到session.save()回调内 - 确保session保存成功后再返回验证码图片 - 添加验证码验证调试日志帮助诊断 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-28 14:11:36 +08:00
yuyx	4f1a1ec97c	fix: 修复验证码请求429错误问题： - 短时间内多次请求验证码触发限流（429 Too Many Requests）修复： - 后端：验证码最小请求间隔从3秒改为1秒 - 前端：添加2秒防抖，避免重复请求 - 前端：429错误时保留已有验证码图片 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-28 14:06:23 +08:00
yuyx	540c292d70	feat: 实现Token刷新机制，缩短登录有效期安全改进： - Access Token有效期从7天缩短为2小时 - 添加Refresh Token机制（有效期7天） - 关闭浏览器后较快失效，提升安全性后端修改（auth.js）： - 添加generateRefreshToken函数生成刷新令牌 - 添加refreshAccessToken函数验证并刷新access token - 分离ACCESS_TOKEN_EXPIRES和REFRESH_TOKEN_EXPIRES配置后端修改（server.js）： - 登录时返回refreshToken和expiresIn - 添加/api/refresh-token接口用于刷新token - Cookie有效期同步调整为2小时前端修改（app.js）： - 保存refreshToken到localStorage - 添加自动刷新定时器（过期前5分钟刷新） - 页面加载时若token过期自动尝试刷新 - 登出时清除refreshToken和定时器 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-28 13:46:51 +08:00
yuyx	1d65e97b04	feat: 注册、重置密码、重发验证邮件添加验证码功能后端修改： - 添加通用验证码验证函数 verifyCaptcha() - /api/register 接口添加验证码验证 - /api/password/forgot 接口添加验证码验证 - /api/resend-verification 接口添加验证码验证前端修改： - 注册表单添加验证码输入框和图片 - 忘记密码模态框添加验证码 - 重发验证邮件区域添加验证码输入 - 添加各表单的验证码刷新方法 - 提交失败后自动刷新验证码 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-28 13:11:03 +08:00
yuyx	209aa4a865	🐛 修复主题偏好刷新后丢失的问题原因：authMiddleware 中的 req.user 对象没有包含 theme_preference 字段，导致 /api/user/theme 接口始终返回 undefined，用户设置的主题无法被正确读取。修复：在 req.user 中添加 theme_preference 字段 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 23:25:25 +08:00
yuyx	f12b9b7291	✨ 添加主题切换功能：支持暗色/亮色玻璃主题功能说明： - 管理员可在系统设置中配置全局默认主题 - 普通用户可在设置页面选择：跟随全局/暗色/亮色 - 分享页面自动继承分享者的主题偏好 - 主题设置实时保存，刷新后保持技术实现： - 后端：数据库添加theme_preference字段，新增主题API - 前端：CSS变量实现主题切换，localStorage缓存避免闪烁 - 分享页：加载时获取分享者主题设置 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 23:02:48 +08:00
yuyx	accccf261d	🕐 修复系统日志时区问题 - 日志写入时使用 datetime('now', 'localtime') 替代 CURRENT_TIMESTAMP - 日志统计和清理查询也使用本地时间 - 解决日志时间比实际时间慢8小时的问题（UTC → 北京时间） 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 22:20:33 +08:00
yuyx	ab61582487	fix(database): 读取环境变量DATABASE_PATH而非硬编码路径之前硬编码为 ftp-manager.db，导致 .env 中的 DATABASE_PATH 无效。修复： - 读取 DATABASE_PATH 环境变量 - 默认路径改为 ./data/database.db - 自动创建数据库目录 - 启动时打印数据库路径便于确认 ⚠️ 升级注意：旧用户需要迁移数据库文件： mv backend/ftp-manager.db backend/data/database.db 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 21:07:12 +08:00
yuyx	6b38696eec	fix(security): 修复邮箱验证绕过漏洞之前的迁移脚本会在每次服务启动时将所有 is_verified=0 的用户自动设为已验证，导致攻击者可以用假邮箱注册后等待服务重启绕过验证。修复方案：仅将 is_verified IS NULL 且 verification_token IS NULL 的用户设为已验证（这些是邮箱验证功能上线前注册的老用户）。 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 20:35:01 +08:00
yuyx	3dbd545f6b	fix(install): 修复更新/修复模式自动补充TRUST_PROXY配置 - 在 update_patch_env 中添加 TRUST_PROXY 检查和自动补充 - 修复模式(repair_main)现在也会调用 update_patch_env - 更新 .env.example 添加 TRUST_PROXY 配置说明 - 更新修复模式的提示信息解决使用Nginx反向代理时HTTPS检测失败的问题 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 20:13:37 +08:00
yuyx	c3bc58a88b	feat(admin): 添加系统日志功能 ## 新功能 1. 系统日志数据库 - 新增 system_logs 表 - 支持日志级别：debug/info/warn/error - 支持日志分类：auth/user/file/share/system/security - 记录用户ID、用户名、IP地址、User-Agent 2. 日志记录 - 用户注册成功/失败 - 用户登录成功/失败（密码错误） - 系统操作（日志清理等） 3. 管理员API - GET /api/admin/logs - 查询日志（支持分页和筛选） - GET /api/admin/logs/stats - 获取日志统计 - POST /api/admin/logs/cleanup - 清理旧日志 4. 前端界面 - 日志列表展示（时间、级别、分类、内容、用户、IP） - 筛选功能（级别、分类、关键词搜索） - 分页导航 - 清理旧日志功能 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 19:54:46 +08:00
yuyx	15ea15518c	fix(security): 修复信任代理和HTTPS检测的安全漏洞 ## 问题修复 1. trust proxy 配置安全加固 - 默认改为 false（不信任任何代理） - 支持多种安全配置：数字跳数、loopback、IP/CIDR段 - 当配置为 true 时输出安全警告 2. HTTPS 检测基于可信代理链 - 使用 req.secure 替代直接读取 x-forwarded-proto - Express 会根据 trust proxy 配置判断是否采信代理头 - 防止客户端伪造协议头绕过 HTTPS 强制 3. 客户端 IP 获取安全加固 - 使用 req.ip 替代直接读取 X-Forwarded-For - Express 会根据 trust proxy 配置正确处理代理链 - 防止客户端伪造 IP 绕过限流 4. 健康检测增加安全警告 - trust proxy = true 时标记为严重安全问题 - 提示管理员配置更安全的代理信任策略 5. 安装脚本优化 - 默认配置 TRUST_PROXY=1（单层Nginx场景） - 添加详细的配置说明和安全警告 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 19:42:25 +08:00
yuyx	1dde17bb04	feat(admin): 添加系统健康检测功能新增管理员健康检测面板，可检测以下配置项： - 安全配置：JWT密钥、CORS、HTTPS、管理员账号、登录防爆破 - 服务状态：SMTP邮件、数据库连接、存储目录 - 运行配置：反向代理支持、Node环境修改文件： - backend/auth.js: 新增 isJwtSecretSecure() 函数 - backend/server.js: 新增 /api/admin/health-check API - frontend/app.js: 新增健康检测数据和方法 - frontend/app.html: 新增健康检测UI界面 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 19:37:42 +08:00
yuyx	1b7585d54a	fix(security): 完善SSRF防护的IP地址检查 - 完整IPv6私有地址检查：fc00::/7, fe80::/10, ff00::/8 - 添加云服务元数据地址检查：169.254.0.0/16 - 添加运营商级NAT地址检查：100.64.0.0/10 - 支持IPv4映射的IPv6地址递归检查 - 使用正则表达式优化172.16.0.0/12检查 - 代码结构更清晰，按IPv4/IPv6分类处理 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 14:56:42 +08:00
yuyx	4f9b281039	feat: 添加SFTP空间使用统计功能 - 新增 /api/user/sftp-usage API，递归统计SFTP服务器空间使用情况 - 返回总使用空间、文件数、文件夹数 - 在设置页面显示SFTP空间统计信息 - 支持手动刷新统计数据 - 适配"仅SFTP"和"用户可选"两种权限模式的UI 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-27 13:39:51 +08:00
yuyx	b188679f19	🐛 修复邮箱验证链接无效的问题 - 修复 UserDB.create() 中 verification_token 未哈希存储的bug - 注册时的token现在会进行SHA256哈希，与验证时的逻辑保持一致 - 解决"无效或已过期的验证链接"错误问题原因：注册时存储原文token，验证时用哈希后的token匹配，导致永远匹配不上 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 12:21:11 +08:00
yuyx	1943fea2e6	🐛 修复本地存储文件删除失败的问题问题：sanitizeInput 函数将 / 转义为 /，导致文件路径错误修复：从 XSS 过滤中移除对 / 的转义，因为它是路径分隔符的合法字符 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 11:44:51 +08:00
yuyx	2fb2321750	🔒 修复分享列表接口的目录遍历漏洞 - 在 /api/share/:code/list 增加路径规范化与范围校验 - 使用 path.posix.normalize 处理 subPath，阻断 ../ 遍历攻击 - 调用 isPathWithinShare 验证请求路径在分享范围内 - 统一使用安全的 requestedPath 进行存储访问和直链生成 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 11:10:48 +08:00
yuyx	3045c354f4	✨ 优化上传体验：上传前检查文件大小限制问题：原来文件上传完成后才提示超过大小限制，浪费用户时间修复： - 后端：添加 /api/config 公开接口返回上传大小限制 - 前端：页面加载时获取配置 - 前端：uploadFile 函数开始时检查文件大小，超限立即提示 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 10:46:10 +08:00
yuyx	406b93019c	🐛 修复管理员存储统计磁盘容量显示为0的问题 - 将存储目录路径从 local-storage 改为 storage，与 storage.js 保持一致 - 添加目录不存在时自动创建的逻辑 - 支持 STORAGE_ROOT 环境变量配置 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 09:57:06 +08:00
yuyx	474c8fe9b5	🔒 安全加固：修复多个中高危漏洞修复内容： 1. Host Header 注入 - 添加 PUBLIC_BASE_URL 和 ALLOWED_HOSTS 白名单 2. API密钥暴力破解 - 添加速率限制（5次/小时，封锁24小时） 3. 路径遍历漏洞 - 增强路径验证，防止空字节注入和目录遍历 4. 令牌安全 - 密码重置和邮箱验证令牌使用SHA256哈希存储 5. 文件上传安全 - 阻止PHP/JSP/ASP等可执行脚本上传 6. IDOR防护 - 增强权限验证和安全日志 7. XSS防护 - 增强输入过滤，阻止javascript:等危险协议 8. 日志脱敏 - 移除验证码等敏感信息的日志输出 9. CSRF增强 - HTTPS环境使用strict模式Cookie 10. 邮箱枚举防护 - 密码重置统一返回消息 11. 速率限制 - 文件列表(60次/分)和上传(100次/小时) 配置说明： - PUBLIC_BASE_URL: 必须配置，用于生成安全的邮件链接 - ALLOWED_HOSTS: 可选，Host头白名单 - COOKIE_SECURE=true: 生产环境必须开启 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 09:48:46 +08:00
yuyx	47fe1466a4	🔒 修复中高危安全漏洞并增强文件安全验证关键安全修复： 1. 修复弱随机数生成器（中危） - 分享码生成从Math.random()改为crypto.randomBytes() - 防止分享链接被预测或暴力猜测 2. 增强文件上传安全验证（中危） - 新增isSafePathSegment()函数验证文件名 - 禁止路径遍历字符（..、/、\、控制字符） - 添加上传路径规范化和安全检查功能改进： - 管理员界面显示用户邮箱验证状态 - 优化用户状态展示（已封禁/未激活/正常）安全影响： - 消除分享链接可预测性风险 - 防止文件上传路径遍历攻击 - 提升文件系统访问控制安全性 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 01:37:02 +08:00
yuyx	3e4aae60cb	🔒 修复命令注入漏洞并增强HTTPS配置安全修复： - 修复命令执行语法错误（wmic命令字符串拼接） - 添加驱动器字母验证防止命令注入（仅允许A-Z） - 修复命令执行参数构造错误功能增强： - 新增ENFORCE_HTTPS环境变量（强制HTTPS访问） - 更新.env.example添加ENFORCE_HTTPS配置说明 - 更新install.sh支持自动配置ENFORCE_HTTPS - 更新脚本自动为现有.env补充ENFORCE_HTTPS配置这些改进消除了命令注入风险并提供了更灵活的HTTPS策略控制。 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 01:17:32 +08:00
yuyx	2ba254b1b5	🔒 增强安全防护：新增多层输入验证和XSS防护 - 添加用户名正则验证（支持中英文、数字、下划线等） - 新增HTTPS强制访问选项（通过环境变量控制） - 实现HTML转义函数防止邮件XSS注入 - 增强HTTP直链URL校验，仅允许http/https协议 - 添加buildHttpDownloadUrl安全构建下载URL - 优化密码重置流程，增加账号状态验证 - 全面应用sanitizeHttpBaseUrl确保URL安全 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-25 00:52:56 +08:00
喻勇祥	4e4ef0405b	🔒 增强安全防护：防止 SSRF 攻击和 Token 泄露后端安全增强： - 新增 SSRF 防护机制，验证 SFTP 目标地址 - 添加 isPrivateIp() 函数，检测并阻止连接内网地址 - 添加 validateSftpDestination() 函数，验证主机名和端口 - 支持 DNS 解析和 IP 地址验证 - 添加 SFTP 连接超时配置（默认8秒） - 移除 URL 参数中的 token 认证，只接受 Header 或 HttpOnly Cookie 前端安全改进： - 移除下载链接中的 token 参数 - 改为依赖同域 Cookie 进行身份验证 - 避免 token 在 URL 中暴露，防止日志泄露环境变量配置： - ALLOW_PRIVATE_SFTP=true 可允许连接内网（测试环境） - SFTP_CONNECT_TIMEOUT 可配置连接超时时间 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 20:07:34 +08:00
喻勇祥	02f0f3aa24	🔥 移除旧密码重置审核系统 & ✨ 优化存储管理UI 后端改进： - 移除需要管理员审核的密码重置请求功能 - 简化密码重置流程，直接使用邮件重置 - 删除 password_reset_requests 表及相关代码前端优化： - 重新设计存储管理界面，采用现代化渐变风格 - 改进存储方式切换交互，添加动画效果 - 优化视觉层次和信息展示 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 19:12:57 +08:00
喻勇祥	104d7fe0ef	✨ 优化邮件验证和密码重置链接 - 修改邮件中的验证和重置链接，直接指向 app.html 页面 - 在落地页添加容错脚本，自动重定向带 token 的请求到应用页 - 提升用户体验，减少跳转步骤 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 18:57:50 +08:00
喻勇祥	cfbb134587	🐛 修复邮箱验证和密码重置的时间戳问题后端修复： - 修改时间戳存储格式：从 ISO 字符串改为数值时间戳（毫秒） - 优化时间戳比较逻辑：兼容新旧格式的时间戳 - 修复 VerificationDB.consumeVerificationToken() 的时间比较 - 修复 PasswordResetTokenDB.use() 的时间比较 - 统一使用 Date.now() 生成时间戳前端改进： - 新增 verifyMessage 独立显示验证相关提示 - 优化邮箱验证成功后的用户体验（自动切换到登录表单） - 优化密码重置成功后的用户体验（自动切换到登录表单） - 改进提示信息显示方式技术细节： - SQLite 时间比较：strftime('%s','now')*1000 获取当前毫秒时间戳 - 兼容旧数据：同时支持字符串和数值时间戳比较这个修复解决了邮箱验证令牌一直提示过期的问题。 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 15:48:32 +08:00
喻勇祥	5ed13351f9	🐛 修复邮件发送功能的小问题 - 修复发件人字段处理，避免空字符串导致发送失败 - 改进SMTP测试错误消息显示，支持详细错误信息 - 更新package-lock.json锁定nodemailer版本这些修复提升了邮件功能的稳定性和错误提示的友好性。 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 14:37:34 +08:00
喻勇祥	6958655d6e	✉️ 添加完整的邮件系统功能后端新增功能： - 集成 nodemailer 支持 SMTP 邮件发送 - 新增邮箱验证系统（VerificationDB） - 新增密码重置令牌系统（PasswordResetTokenDB） - 实现邮件发送限流（30分钟3次，全天10次） - 添加 SMTP 配置管理接口 - 支持邮箱激活和密码重置邮件发送前端新增功能： - 注册时邮箱必填并需验证 - 邮箱验证激活流程 - 重发激活邮件功能 - 基于邮箱的密码重置流程（替代管理员审核） - 管理后台 SMTP 配置界面 - SMTP 测试邮件发送功能安全改进： - 邮件发送防刷限流保护 - 验证令牌随机生成（48字节） - 重置链接有效期限制 - 支持 SSL/TLS 加密传输支持的邮箱服务：QQ邮箱、163邮箱、企业邮箱等主流SMTP服务 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 14:28:35 +08:00
喻勇祥	fafd897588	🚀 增强验证码安全性和防刷机制 - 添加验证码请求限流器（30次/10分钟，超限封锁30分钟） - 添加验证码请求间隔控制（最小3秒间隔） - 升级验证码复杂度：4位数字 → 6位字母数字混合 - 移除易混淆字符（I/l/O/0/1等） - 优化验证码显示参数（尺寸、干扰线等）这些改进大幅提升了验证码的安全性，有效防止暴力破解和恶意刷新。 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 10:25:10 +08:00
喻勇祥	46fb4d0fd0	🔧 改进反向代理和Session安全配置 - 添加trust proxy配置，支持在Nginx/Cloudflare后正确识别客户端IP和协议 - 优化Session cookie配置，HTTPS环境下使用sameSite=none以支持跨域 - 移除测试脚本test_captcha.sh 这些改进确保系统在反向代理环境下正常工作，并提升了安全性。 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-24 10:03:57 +08:00
喻勇祥	7ce9d95d44	🐛 修复验证码Session问题 - 验证码过期Bug修复 ## 问题描述用户输入验证码后一直提示"验证码已过期" ## 根本原因 Session配置问题导致验证码无法正确保存和读取： 1. saveUninitialized: false 导致验证码请求时session不会被创建 2. 缺少 sameSite 属性导致某些情况下cookie无法正确传递 ## 修复方案 ### Session配置优化 - saveUninitialized: false → true (确保验证码请求时创建session) - 添加 name: 'captcha.sid' (自定义session cookie名称) - 添加 sameSite: 'lax' (防止CSRF同时确保同站请求携带cookie) ### 验证码生成API增强 - 添加 req.session.save() 确保session立即保存 - 添加调试日志输出SessionID和验证码内容 ### 登录API调试 - 添加详细的验证码验证日志 - 输出SessionID、失败次数、验证码匹配情况 - 帮助快速定位问题 ## 测试建议 1. 清除浏览器Cookie 2. 输错密码2次触发验证码 3. 查看后端日志确认SessionID一致 4. 输入正确验证码应该能通过验证 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-21 16:39:38 +00:00
喻勇祥	61c99ce5c0	✨ 添加登录验证码功能 - 增强系统安全性 ## 新增功能 - 密码输错2次后自动显示验证码 - 4位数字验证码，点击可刷新 - 验证码有效期5分钟 - 基于IP和用户名双重防护 - 前台和后台登录均支持 ## 后端改动 - 新增验证码生成API: GET /api/captcha - 修改登录API支持验证码验证 - 添加session管理验证码 - 增强RateLimiter防爆破机制 ## 前端改动 - 登录表单添加验证码输入框（条件显示） - 验证码图片展示和刷新功能 - 自动触发验证码显示逻辑 ## 依赖更新 - 新增: svg-captcha (验证码生成) - 新增: express-session (session管理) ## 文档 - CAPTCHA_FEATURE.md - 详细功能文档 - CAPTCHA_README.md - 快速开始指南 - test_captcha.sh - 自动化测试脚本 - 更新说明_验证码功能.txt - 中文说明 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>	2025-11-21 16:32:32 +00:00

1 2

90 Commits