v0.13.2.fr.md
docs/i18n/release-notes/v0.13.2.fr.md
Tesserae v0.13.2 — le point de terminaison de clip ne fait confiance qu'à l'extension publiée
<!-- translations:start -->
English · 한국어 · 中文 · 日本語 · Русский · Español · Français · Deutsch
<!-- translations:end -->
Publié le 2026-07-02 · PyPI · GitHub release · pip install --upgrade tesserae==0.13.2
Un petit renforcement de la sécurité pour le découpe web, maintenant que l'extension Chrome Clip to Tesserae est publiée.
POST /api/clip ne fait confiance qu'à l'extension publiée
tesserae serve accepte les clips de l'extension navigateur. Sa politique CORS faisait auparavant confiance à n'importe quelle origine chrome-extension:// / moz-extension:// — donc n'importe quelle extension qu'un utilisateur avait installée aurait pu envoyer des clips vers son serveur local.
Maintenant, l'origine de l'extension doit être sur liste blanche :
- l'extension Clip to Tesserae publiée est de confiance par défaut (zéro configuration), et
- vous pouvez faire confiance à des identifiants supplémentaires — votre propre compilation de développement non compactée, Firefox, ou un fork — en les ajoutant à une liste
clip_extension_idsdans~/.tesserae/config.json:
{ "clip_extension_ids": ["your-dev-build-extension-id"] }
Les origines en boucle locale http(s), l'appelant sans origine (non-navigateur), et le secret partagé orthogonal clip_token sont inchangés. La liste est lue à chaque requête, donc aucun redémarrage n'est nécessaire pour faire confiance à un nouvel identifiant.
Mise à jour
Remplacement direct par rapport à v0.13.x. Si vous utilisez clip avec l'extension publiée, rien ne change. Si vous développez l'extension localement, ajoutez l'identifiant de votre compilation non compactée à clip_extension_ids.