yuyx
474c8fe9b5
🔒 安全加固:修复多个中高危漏洞
修复内容:
1. Host Header 注入 - 添加 PUBLIC_BASE_URL 和 ALLOWED_HOSTS 白名单
2. API密钥暴力破解 - 添加速率限制(5次/小时,封锁24小时)
3. 路径遍历漏洞 - 增强路径验证,防止空字节注入和目录遍历
4. 令牌安全 - 密码重置和邮箱验证令牌使用SHA256哈希存储
5. 文件上传安全 - 阻止PHP/JSP/ASP等可执行脚本上传
6. IDOR防护 - 增强权限验证和安全日志
7. XSS防护 - 增强输入过滤,阻止javascript:等危险协议
8. 日志脱敏 - 移除验证码等敏感信息的日志输出
9. CSRF增强 - HTTPS环境使用strict模式Cookie
10. 邮箱枚举防护 - 密码重置统一返回消息
11. 速率限制 - 文件列表(60次/分)和上传(100次/小时)
配置说明:
- PUBLIC_BASE_URL: 必须配置,用于生成安全的邮件链接
- ALLOWED_HOSTS: 可选,Host头白名单
- COOKIE_SECURE=true: 生产环境必须开启
🤖 Generated with [Claude Code](https://claude.com/claude-code)
Co-Authored-By: Claude <noreply@anthropic.com>
2025-11-25 09:48:46 +08:00
..
2025-11-25 01:17:32 +08:00
2025-11-24 20:07:34 +08:00
2025-11-10 21:50:16 +08:00
2025-11-14 19:47:36 +08:00
2025-11-25 09:48:46 +08:00
2025-11-10 21:50:16 +08:00
2025-11-14 16:25:31 +08:00
2025-11-24 14:37:34 +08:00
2025-11-24 14:28:35 +08:00
2025-11-25 09:48:46 +08:00
2025-11-10 21:50:16 +08:00
2025-11-25 09:48:46 +08:00
2025-11-14 19:47:36 +08:00