v0.13.2.de.md
docs/i18n/release-notes/v0.13.2.de.md
Tesserae v0.13.2 — Clip-Endpunkt vertraut nur der veröffentlichten Erweiterung
<!-- translations:start -->
English · 한국어 · 中文 · 日本語 · Русский · Español · Français · Deutsch
<!-- translations:end -->
Veröffentlicht 2026-07-02 · PyPI · GitHub release · pip install --upgrade tesserae==0.13.2
Eine kleine Sicherheitshärtung für die Web-Clipper, jetzt dass die Clip to Tesserae Chrome-Erweiterung veröffentlicht ist.
POST /api/clip vertraut nur der veröffentlichten Erweiterung
tesserae serve akzeptiert Clips von der Browser-Erweiterung. Die CORS-Richtlinie vertraute zuvor jedem chrome-extension:// / moz-extension://-Ursprung — daher konnte jede Erweiterung, die ein Benutzer installiert hatte, Clips in seinen lokalen Server posten.
Jetzt muss der Ursprung der Erweiterung auf die Whitelist gesetzt werden:
- die veröffentlichte Clip to Tesserae-Erweiterung wird standardmäßig vertraut (keine Konfiguration erforderlich), und
- Sie können zusätzlichen IDs vertrauen — Ihren eigenen entpackten Dev-Build, Firefox oder einen Fork — indem Sie diese zu einer
clip_extension_ids-Liste in~/.tesserae/config.jsonhinzufügen:
{ "clip_extension_ids": ["your-dev-build-extension-id"] }
Loopback http(s)-Ursprünge, der no-Origin (nicht-Browser)-Aufrufer und das orthogonale gemeinsame Geheimnis clip_token sind unverändert. Die Liste wird bei jeder Anfrage neu gelesen, daher ist kein Neustart erforderlich, um einer neuen ID zu vertrauen.
Upgrade
Drop-in über v0.13.x. Wenn Sie mit der veröffentlichten Erweiterung clippen, ändert sich nichts. Wenn Sie die Erweiterung lokal entwickeln, fügen Sie die ID Ihres entpackten Builds zu clip_extension_ids hinzu.