2.3 KB · updated 2026-07-06 · md

v0.13.2.fr.md

docs/i18n/release-notes/v0.13.2.fr.md

Tesserae v0.13.2 — le point de terminaison de clip ne fait confiance qu'à l'extension publiée

<!-- translations:start -->

English · 한국어 · 中文 · 日本語 · Русский · Español · Français · Deutsch

<!-- translations:end -->

Publié le 2026-07-02 · PyPI · GitHub release · pip install --upgrade tesserae==0.13.2

Un petit renforcement de la sécurité pour le découpe web, maintenant que l'extension Chrome Clip to Tesserae est publiée.

POST /api/clip ne fait confiance qu'à l'extension publiée

tesserae serve accepte les clips de l'extension navigateur. Sa politique CORS faisait auparavant confiance à n'importe quelle origine chrome-extension:// / moz-extension:// — donc n'importe quelle extension qu'un utilisateur avait installée aurait pu envoyer des clips vers son serveur local.

Maintenant, l'origine de l'extension doit être sur liste blanche :

  • l'extension Clip to Tesserae publiée est de confiance par défaut (zéro configuration), et
  • vous pouvez faire confiance à des identifiants supplémentaires — votre propre compilation de développement non compactée, Firefox, ou un fork — en les ajoutant à une liste clip_extension_ids dans ~/.tesserae/config.json :
{ "clip_extension_ids": ["your-dev-build-extension-id"] }

Les origines en boucle locale http(s), l'appelant sans origine (non-navigateur), et le secret partagé orthogonal clip_token sont inchangés. La liste est lue à chaque requête, donc aucun redémarrage n'est nécessaire pour faire confiance à un nouvel identifiant.

Mise à jour

Remplacement direct par rapport à v0.13.x. Si vous utilisez clip avec l'extension publiée, rien ne change. Si vous développez l'extension localement, ajoutez l'identifiant de votre compilation non compactée à clip_extension_ids.