2.2 KB · updated 2026-07-06 · md

v0.13.2.de.md

docs/i18n/release-notes/v0.13.2.de.md

Tesserae v0.13.2 — Clip-Endpunkt vertraut nur der veröffentlichten Erweiterung

<!-- translations:start -->

English · 한국어 · 中文 · 日本語 · Русский · Español · Français · Deutsch

<!-- translations:end -->

Veröffentlicht 2026-07-02 · PyPI · GitHub release · pip install --upgrade tesserae==0.13.2

Eine kleine Sicherheitshärtung für die Web-Clipper, jetzt dass die Clip to Tesserae Chrome-Erweiterung veröffentlicht ist.

POST /api/clip vertraut nur der veröffentlichten Erweiterung

tesserae serve akzeptiert Clips von der Browser-Erweiterung. Die CORS-Richtlinie vertraute zuvor jedem chrome-extension:// / moz-extension://-Ursprung — daher konnte jede Erweiterung, die ein Benutzer installiert hatte, Clips in seinen lokalen Server posten.

Jetzt muss der Ursprung der Erweiterung auf die Whitelist gesetzt werden:

  • die veröffentlichte Clip to Tesserae-Erweiterung wird standardmäßig vertraut (keine Konfiguration erforderlich), und
  • Sie können zusätzlichen IDs vertrauen — Ihren eigenen entpackten Dev-Build, Firefox oder einen Fork — indem Sie diese zu einer clip_extension_ids-Liste in ~/.tesserae/config.json hinzufügen:
{ "clip_extension_ids": ["your-dev-build-extension-id"] }

Loopback http(s)-Ursprünge, der no-Origin (nicht-Browser)-Aufrufer und das orthogonale gemeinsame Geheimnis clip_token sind unverändert. Die Liste wird bei jeder Anfrage neu gelesen, daher ist kein Neustart erforderlich, um einer neuen ID zu vertrauen.

Upgrade

Drop-in über v0.13.x. Wenn Sie mit der veröffentlichten Erweiterung clippen, ändert sich nichts. Wenn Sie die Erweiterung lokal entwickeln, fügen Sie die ID Ihres entpackten Builds zu clip_extension_ids hinzu.