2.5 KB · updated 2026-07-06 · md

v0.13.2.ja.md

docs/i18n/release-notes/v0.13.2.ja.md

Tesserae v0.13.2 — クリップエンドポイントが公開された拡張機能だけを信頼するようになりました

<!-- translations:start -->

English · 한국어 · 中文 · 日本語 · Русский · Español · Français · Deutsch

<!-- translations:end -->

2026-07-02 リリース · PyPI · GitHub リリース · pip install --upgrade tesserae==0.13.2

ウェブクリッパーの小さなセキュリティ強化です。Clip to Tesserae Chrome拡張機能が公開されたためです。

POST /api/clip が公開された拡張機能だけを信頼するようになりました

tesserae serve はブラウザ拡張機能からのクリップを受け入れます。以前は CORS ポリシーが任意の chrome-extension:// / moz-extension:// オリジンを信頼していたため、ユーザーがインストールした任意の拡張機能がローカルサーバーにクリップを POST できました。

現在、拡張機能のオリジンはホワイトリスト登録される必要があります:

  • 公開されているClip to Tesserae拡張機能はデフォルトで信頼されています(設定不要)、および
  • 独自のアンパック開発ビルド、Firefox、またはフォークなど、追加の ID を信頼できます。これらを ~/.tesserae/config.jsonclip_extension_ids リストに追加することで信頼できます:
{ "clip_extension_ids": ["your-dev-build-extension-id"] }

ループバック http(s) オリジン、no-Origin(非ブラウザ)呼び出し元、および直交する共有シークレット clip_token は変わりません。リストは各リクエストで新しく読み取られるため、新しい ID を信頼するために再起動は必要ありません。

アップグレード

v0.13.x の上にドロップインできます。公開された拡張機能でクリップする場合、変わりません。拡張機能をローカルで開発する場合は、アンパック ビルドの ID を clip_extension_ids に追加してください。