yangjianbo e75d3e3584 fix(security): 修复密码重置链接 Host Header 注入漏洞 (P0-07) ...

ForgotPassword 原来从 c.Request.Host 构建重置链接基础 URL，攻击者
可伪造 Host 头将重置链接指向恶意域名窃取 token。

修复方案：
- ServerConfig 新增 frontend_url 配置项
- auth_handler 改为从配置读取前端 URL，未配置时拒绝请求
- Validate() 校验 frontend_url 必须为绝对 HTTP(S) URL
- 新增 TestValidateServerFrontendURL 单元测试
- config.example.yaml 添加配置说明

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

2026-02-07 17:15:26 +08:00

..

config_test.go

fix(security): 修复密码重置链接 Host Header 注入漏洞 (P0-07)

2026-02-07 17:15:26 +08:00

config.go

fix(security): 修复密码重置链接 Host Header 注入漏洞 (P0-07)

2026-02-07 17:15:26 +08:00

wire.go

chore: 更新依赖、配置和代码生成

2026-01-03 06:37:08 -08:00