github/sub2api
1
0
Fork 0
mirror of https://github.com/Wei-Shaw/sub2api.git synced 2026-03-30 15:10:08 +00:00
Code Issues Packages Projects Releases Wiki Activity
Files
e75d3e35840a3055f383672943b3f1cc24014856
sub2api/backend
History
yangjianbo e75d3e3584 fix(security): 修复密码重置链接 Host Header 注入漏洞 (P0-07) 
ForgotPassword 原来从 c.Request.Host 构建重置链接基础 URL,攻击者
可伪造 Host 头将重置链接指向恶意域名窃取 token。

修复方案:
- ServerConfig 新增 frontend_url 配置项
- auth_handler 改为从配置读取前端 URL,未配置时拒绝请求
- Validate() 校验 frontend_url 必须为绝对 HTTP(S) URL
- 新增 TestValidateServerFrontendURL 单元测试
- config.example.yaml 添加配置说明

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-02-07 17:15:26 +08:00
..
cmd
chore(version): 更新版本号至 0.1.70.2
2026-02-07 14:58:52 +08:00
ent
feat: 新增全局错误透传规则功能
2026-02-05 21:52:54 +08:00
internal
fix(security): 修复密码重置链接 Host Header 注入漏洞 (P0-07)
2026-02-07 17:15:26 +08:00
migrations
feat: 新增全局错误透传规则功能
2026-02-05 21:52:54 +08:00
resources/model-pricing
feat(模型): 添加 gpt-5.3 Codex 映射与价格配置
2026-02-06 07:14:46 +08:00
.dockerignore
feat(ops): 增强上游错误追踪和新增定时报告服务
2026-01-11 23:00:31 +08:00
.golangci.yml
fix(ci): 修复所有CI失败问题
2026-01-11 23:49:03 +08:00
Dockerfile
build(工具链): 升级 Go 到 1.25.7
2026-02-06 07:41:23 +08:00
go.mod
build(工具链): 升级 Go 到 1.25.7
2026-02-06 07:41:23 +08:00
go.sum
build(工具链): 升级 Go 到 1.25.7
2026-02-06 07:41:23 +08:00
Makefile
feat(安全): 添加安全开关并完善测试流程
2026-01-05 13:54:43 +08:00