fix: 修复安全漏洞和代码质量问题

安全修复: - 修复路径遍历检查，使用 Path.relative_to() 替代字符串前缀检查 - 修复 Zip Slip 漏洞，添加符号链接检查和路径验证 - 隐藏 RPC 密钥显示，防止敏感信息泄露 - 设置配置文件权限为 0o600 Bug 修复: - 修复 HTTP 状态码检查（resp.status → resp.code） - 修复 OneDrive 认证 flow 参数类型 - 修复 RPC 请求缺少状态码验证 - 修复配置文件渲染会替换注释行的问题代码改进: - 添加 subprocess 超时处理，防止进程挂起 - 修复异步代码问题（get_event_loop → get_running_loop） - 使用 asyncio.to_thread 避免阻塞事件循环 - 添加 httpx 超时和状态码异常处理 - 移除无用的 ONEDRIVE_CLIENT_SECRET 配置 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
2026-01-11 20:12:20 +08:00 · 2025-12-12 16:42:48 +08:00
parent 85f4c8a131
commit bf4fdf1377
8 changed files with 67 additions and 30 deletions
--- a/.env.example
+++ b/.env.example
@@ -17,12 +17,11 @@ ARIA2_RPC_SECRET=
 # 启用 OneDrive 云存储功能
 ONEDRIVE_ENABLED=false

-# Microsoft Azure 应用凭证
+# Microsoft Azure 应用凭证（使用公共客户端认证，不需要 client_secret）
 # 在 Azure Portal 创建应用：https://portal.azure.com/#blade/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
 # 需要添加 API 权限：Files.ReadWrite, offline_access
+# 注意：应用类型选择"公共客户端/本机"，不需要配置客户端密码
 ONEDRIVE_CLIENT_ID=
-# 不再需要
-ONEDRIVE_CLIENT_SECRET=

 # 租户 ID（个人账户使用 common，组织账户使用具体租户 ID）
 ONEDRIVE_TENANT_ID=common