免费开源的WPS AI插件 察元AI助手:开发环境代理中间件的主机白名单
摘要
createDashscopeDevProxy 在 configureServer 中注册 /dev_proxy/remote,仅允许目标 hostname 匹配 aliyuncs.com,防止开放代理被滥用为任意 SSRF。
关键词
Vite;代理;SSRF
扩展阅读与维护提示
本篇围绕「开发环境代理中间件的主机白名单」组织材料。仓库内与主题最直接相关的检索词包括:Vite、代理、SSRF。建议在阅读正文所列片段后,用 IDE 全局搜索这些符号,沿 import 与调用栈向上追问「谁在什么时机调用」,而不是只记住单文件路径。
摘要所概括的要点为:createDashscopeDevProxy 在 configureServer 中注册 /dev_proxy/remote,仅允许目标 hostname 匹配 aliyuncs.com,防止开放代理被滥用为任意 SSRF。落地到排障时,可把现象粗分为三类交叉验证:配置是否按预期写入持久化介质;WPS COM 上下文是否可用(例如是否缺少 ActiveDocument);以及网络与证书策略是否拦截了 fetch。本篇涉及的模块通常只覆盖其中一两类,需要与相邻篇目拼成完整拼图。
教程文件名「26-Vite-kai-fa-daili-yu-zhuji-bai.md」仅用于导航与排序,不等价于源码模块名。若正文中的行号与本地分支不一致,多半因合并导致行偏移,此时应以函数名、导出名为锚重新检索;团队若维护了生成脚本,可在变更大段源码后重新运行以保持摘录大致对齐。
本文刻意避免对产品能力做营销式承诺:所述行为均以当前仓库可见实现为准。若组织策略要求离线或内网模型,应在网关、证书与代理层收口,而不是假设加载项能绕过浏览器安全模型。
若你同时阅读 docs/chayuan-llm-chain-series,可先对照其中的总体链路图理解「请求从 UI 到 chatApi」的次序,再回到本教程看数据结构、默认值与修改风险面;两者互补,不重复堆砌功能列表。
正文
1. 主机校验
parsed.hostname 必须通过正则后缀测试,否则 403。
阅读源码摘录时,请把它当作「定位入口」而非完整实现:同一函数可能在其他分支还有早退条件或 try/catch。修改默认行为前,建议用最小文档手工走一遍相关助手或对话框,并观察任务清单与日志中的字段是否与预期一致,再决定是否做数据迁移或配置重置。
// vite.config.js 第7-26行 function createDashscopeDevProxy() { return { name: 'dashscope-dev-proxy', configureServer(server) { server.middlewares.use('/__dev_proxy__/remote', async (req, res) => { try { const method = String(req.method || 'GET').toUpperCase() const url = new URL(req.url || '', 'http://localhost') const target = url.searchParams.get('url') || '' if (!target) { res.statusCode = 400 res.end('missing target url') return } const parsed = new URL(target) if (!/aliyuncs\.com$/i.test(parsed.hostname)) { res.statusCode = 403 res.end('forbidden target host') return }