yuyx
15ea15518c
fix(security): 修复信任代理和HTTPS检测的安全漏洞
## 问题修复
1. **trust proxy 配置安全加固**
- 默认改为 false(不信任任何代理)
- 支持多种安全配置:数字跳数、loopback、IP/CIDR段
- 当配置为 true 时输出安全警告
2. **HTTPS 检测基于可信代理链**
- 使用 req.secure 替代直接读取 x-forwarded-proto
- Express 会根据 trust proxy 配置判断是否采信代理头
- 防止客户端伪造协议头绕过 HTTPS 强制
3. **客户端 IP 获取安全加固**
- 使用 req.ip 替代直接读取 X-Forwarded-For
- Express 会根据 trust proxy 配置正确处理代理链
- 防止客户端伪造 IP 绕过限流
4. **健康检测增加安全警告**
- trust proxy = true 时标记为严重安全问题
- 提示管理员配置更安全的代理信任策略
5. **安装脚本优化**
- 默认配置 TRUST_PROXY=1(单层Nginx场景)
- 添加详细的配置说明和安全警告
🤖 Generated with [Claude Code](https://claude.com/claude-code)
Co-Authored-By: Claude <noreply@anthropic.com>
2025-11-27 19:42:25 +08:00
..
2025-11-25 01:17:32 +08:00
2025-11-27 19:37:42 +08:00
2025-11-10 21:50:16 +08:00
2025-11-14 19:47:36 +08:00
2025-11-25 12:21:11 +08:00
2025-11-10 21:50:16 +08:00
2025-11-14 16:25:31 +08:00
2025-11-24 14:37:34 +08:00
2025-11-24 14:28:35 +08:00
2025-11-27 19:42:25 +08:00
2025-11-10 21:50:16 +08:00
2025-11-25 09:48:46 +08:00
2025-11-14 19:47:36 +08:00