|
|
c8f3ab5881
|
feat: 修复CORS安全漏洞 + 升级主页设计
🔒 安全修复:
- 修复分享链接HTTP/HTTPS协议识别问题
- 自动配置CORS安全策略(根据部署模式)
- 自动配置Cookie安全设置(HTTPS环境)
- 移除不安全的默认CORS配置
✨ 功能改进:
- install.sh: 升级create_env_file()函数,智能配置CORS
* 域名+HTTPS模式: ALLOWED_ORIGINS=https://domain
* 域名+HTTP模式: ALLOWED_ORIGINS=http://domain
* IP模式: 留空并显示安全警告
- backend/server.js: 添加getProtocol()函数,正确识别HTTPS
- backend/.env.example: 完全重写,添加详细的CORS配置说明
🎨 主页升级:
- frontend/index.html: 全新现代化设计
* 渐变背景+动画效果
* 9大功能特性展示
* 8项技术栈展示
* 完美响应式支持
📝 修改文件:
- backend/server.js (第63-83行, 1255行, 1282行)
- install.sh (第2108-2195行)
- backend/.env.example (完全重写)
- frontend/index.html (完全重写)
🔗 相关问题:
- 修复CORS允许任意域名访问的安全漏洞
- 修复分享链接使用HTTP的问题
- 解决Cookie在HTTP环境下的安全隐患
💡 向后兼容:
- 已部署项目可选择性升级
- 手动添加ALLOWED_ORIGINS配置即可生效
🎉 Generated with Claude Code
Co-Authored-By: Claude <noreply@anthropic.com>
|
2025-11-13 21:36:49 +08:00 |
|
