3.0 KB · updated 2026-07-06 · md

v0.13.2.ru.md

docs/i18n/release-notes/v0.13.2.ru.md

Tesserae v0.13.2 — конечная точка clip доверяет только опубликованному расширению

<!-- translations:start -->

English · 한국어 · 中文 · 日本語 · Русский · Español · Français · Deutsch

<!-- translations:end -->

Выпущено 2026-07-02 · PyPI · GitHub release · pip install --upgrade tesserae==0.13.2

Небольшое усиление безопасности для веб-клиппера, теперь, когда расширение Clip to Tesserae для Chrome опубликовано.

POST /api/clip доверяет только опубликованному расширению

tesserae serve принимает клипы из расширения браузера. Его политика CORS ранее доверяла любому источнику chrome-extension:// / moz-extension:// — поэтому любое установленное расширение могло отправлять клипы на локальный сервер пользователя.

Теперь источник расширения должен быть в списке разрешений:

  • опубликованное расширение Clip to Tesserae доверяется по умолчанию (не требует конфигурации), и
  • вы можете доверять дополнительным идентификаторам — вашей собственной разборке для разработки, Firefox или форку — добавив их в список clip_extension_ids в ~/.tesserae/config.json:
{ "clip_extension_ids": ["your-dev-build-extension-id"] }

Источники loopback http(s), вызывающий без Origin (не браузер) и ортогональный общий секрет clip_token остаются без изменений. Список читается заново при каждом запросе, поэтому перезагрузка не требуется для доверия новому идентификатору.

Обновление

Простое обновление поверх v0.13.x. Если вы используете опубликованное расширение, ничего не меняется. Если вы разрабатываете расширение локально, добавьте идентификатор вашей разборки в clip_extension_ids.