v0.13.2.zh.md
docs/i18n/release-notes/v0.13.2.zh.md
Tesserae v0.13.2 — clip 端点仅信任已发布的扩展
<!-- translations:start -->
English · 한국어 · 中文 · 日本語 · Русский · Español · Français · Deutsch
<!-- translations:end -->
已发布 2026-07-02 · PyPI · GitHub 发布 · pip install --upgrade tesserae==0.13.2
这是一次针对网页剪辑器的小型安全加固。现在 Clip to Tesserae Chrome 扩展已发布。
POST /api/clip 仅信任已发布的扩展
tesserae serve 接受来自浏览器扩展的剪辑。其 CORS 策略之前信任任何 chrome-extension:// / moz-extension:// 来源 — 这意味着用户安装的任何扩展都可以将剪辑 POST 到其本地服务器。
现在扩展来源必须列入允许列表:
- 已发布的 Clip to Tesserae 扩展默认被信任(零配置),以及
- 你可以信任额外的 ID — 你自己未打包的开发版本、Firefox 或 fork — 通过将它们添加到
~/.tesserae/config.json中的clip_extension_ids列表:
{ "clip_extension_ids": ["your-dev-build-extension-id"] }
本地环回 http(s) 来源、无 Origin(非浏览器)调用者和正交的共享密钥 clip_token 保持不变。列表在每个请求时新鲜读取,因此无需重新启动即可信任新的 ID。
升级
直接覆盖 v0.13.x。如果你使用已发布的扩展进行剪辑,没有任何变化。如果你在本地开发扩展,将你未打包版本的 ID 添加到 clip_extension_ids。