v0.13.2.es.md
docs/i18n/release-notes/v0.13.2.es.md
Tesserae v0.13.2 — el endpoint de clip solo confía en la extensión publicada
<!-- translations:start -->
English · 한국어 · 中文 · 日本語 · Русский · Español · Français · Deutsch
<!-- translations:end -->
Lanzado 2026-07-02 · PyPI · GitHub release · pip install --upgrade tesserae==0.13.2
Un pequeño endurecimiento de seguridad para el cortador web, ahora que la extensión Clip to Tesserae de Chrome está publicada.
POST /api/clip solo confía en la extensión publicada
tesserae serve acepta clips desde la extensión del navegador. Su política CORS confiaba anteriormente en cualquier origen chrome-extension:// / moz-extension:// — por lo que cualquier extensión que un usuario tuviera instalada podría enviar clips a su servidor local.
Ahora el origen de la extensión debe estar en una lista de permisos:
- la extensión publicada Clip to Tesserae es de confianza por defecto (sin configuración), y
- puedes confiar en identificadores adicionales — tu propia compilación de desarrollo desempaquetada, Firefox, o una bifurcación — agregándolos a una lista
clip_extension_idsen~/.tesserae/config.json:
{ "clip_extension_ids": ["your-dev-build-extension-id"] }
Los orígenes de loopback http(s), el llamador sin-Origin (no navegador), y el compartido-secreto ortogonal clip_token no cambian. La lista se lee fresca en cada solicitud, por lo que no se necesita reiniciar para confiar en un nuevo id.
Actualizando
Compatible con v0.13.x. Si usas clips con la extensión publicada, nada cambia. Si desarrollas la extensión localmente, agrega el id de tu compilación desempaquetada a clip_extension_ids.