Commits · c9f79dee6643da8db2854a78872247f4b8647f83 · 陈曦 / sub2api

16 Jan, 2026 1 commit

feat(安全): 实现 CSP nonce 支持解决内联脚本安全问题 · c9f79dee

yangjianbo authored Jan 16, 2026



- 添加 GenerateNonce() 生成加密安全的随机 nonce
- SecurityHeaders 中间件为每个请求生成唯一 nonce
- CSP 策略支持 __CSP_NONCE__ 占位符动态替换
- embed_on.go 注入的内联脚本添加 nonce 属性
- 添加 Cloudflare Insights 域名到 CSP 允许列表
- 添加完整单元测试，覆盖率达到 89.8%

解决的问题：
- 内联脚本违反 CSP script-src 指令
- Cloudflare Insights beacon.min.js 加载被阻止
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

c9f79dee

02 Jan, 2026 1 commit

feat(安全): 强化安全策略与配置校验 · bd4bf008

yangjianbo authored Jan 02, 2026

- 增加 CORS/CSP/安全响应头与代理信任配置

- 引入 URL 白名单与私网开关，校验上游与价格源

- 改善 API Key 处理与网关错误返回

- 管理端设置隐藏敏感字段并优化前端提示

- 增加计费熔断与相关配置示例

测试: go test ./...

bd4bf008