fix: 修复安全漏洞和代码质量问题

安全修复:
- 修复路径遍历检查，使用 Path.relative_to() 替代字符串前缀检查
- 修复 Zip Slip 漏洞，添加符号链接检查和路径验证
- 隐藏 RPC 密钥显示，防止敏感信息泄露
- 设置配置文件权限为 0o600

Bug 修复:
- 修复 HTTP 状态码检查（resp.status → resp.code）
- 修复 OneDrive 认证 flow 参数类型
- 修复 RPC 请求缺少状态码验证
- 修复配置文件渲染会替换注释行的问题

代码改进:
- 添加 subprocess 超时处理，防止进程挂起
- 修复异步代码问题（get_event_loop → get_running_loop）
- 使用 asyncio.to_thread 避免阻塞事件循环
- 添加 httpx 超时和状态码异常处理
- 移除无用的 ONEDRIVE_CLIENT_SECRET 配置

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

src/aria2/rpc.py

@@ -86,9 +86,14 @@ class Aria2RpcClient:
         try:
             async with httpx.AsyncClient(timeout=10) as client:
                 resp = await client.post(self.url, json=payload)
+                resp.raise_for_status()
                 data = resp.json()
         except httpx.ConnectError:
             raise RpcError("aria2 服务可能未运行，请先使用 /start 命令启动服务") from None
+        except httpx.TimeoutException:
+            raise RpcError("RPC 请求超时，aria2 服务响应缓慢") from None
+        except httpx.HTTPStatusError as e:
+            raise RpcError(f"RPC 请求失败，HTTP 状态码: {e.response.status_code}") from e
         except httpx.RequestError as e:
             raise RpcError(f"RPC 请求失败: {e}") from e
         except json.JSONDecodeError as e:
@@ -184,7 +189,9 @@ class Aria2RpcClient:
             # 安全检查：验证路径在下载目录内，防止路径遍历攻击
             from src.core.constants import DOWNLOAD_DIR
             download_dir = DOWNLOAD_DIR.resolve()
-            if not str(file_path).startswith(str(download_dir) + "/"):
+            try:
+                file_path.relative_to(download_dir)
+            except ValueError:
                 logger.error(f"路径遍历尝试被阻止: {file_path}")
                 return False
             if file_path.exists():