1.9 KB · updated 2026-07-06 · md

v0.13.2.zh.md

docs/i18n/release-notes/v0.13.2.zh.md

Tesserae v0.13.2 — clip 端点仅信任已发布的扩展

<!-- translations:start -->

English · 한국어 · 中文 · 日本語 · Русский · Español · Français · Deutsch

<!-- translations:end -->

已发布 2026-07-02 · PyPI · GitHub 发布 · pip install --upgrade tesserae==0.13.2

这是一次针对网页剪辑器的小型安全加固。现在 Clip to Tesserae Chrome 扩展已发布

POST /api/clip 仅信任已发布的扩展

tesserae serve 接受来自浏览器扩展的剪辑。其 CORS 策略之前信任任何 chrome-extension:// / moz-extension:// 来源 — 这意味着用户安装的任何扩展都可以将剪辑 POST 到其本地服务器。

现在扩展来源必须列入允许列表

  • 已发布的 Clip to Tesserae 扩展默认被信任(零配置),以及
  • 你可以信任额外的 ID — 你自己未打包的开发版本、Firefox 或 fork — 通过将它们添加到 ~/.tesserae/config.json 中的 clip_extension_ids 列表:
{ "clip_extension_ids": ["your-dev-build-extension-id"] }

本地环回 http(s) 来源、无 Origin(非浏览器)调用者和正交的共享密钥 clip_token 保持不变。列表在每个请求时新鲜读取,因此无需重新启动即可信任新的 ID。

升级

直接覆盖 v0.13.x。如果你使用已发布的扩展进行剪辑,没有任何变化。如果你在本地开发扩展,将你未打包版本的 ID 添加到 clip_extension_ids