打开网易新闻 查看精彩图片
一个2270行的Python文件,能活多久?GEO Optimizer的答案是:从2025年初到v4.0.0发布前。这个叫audit.py的怪物,管着HTTP抓取、评分逻辑、内容解析、模式验证、机器人检测、输出格式化——全塞一块。能跑,但没人敢动。
v4.0.0的核心动作:把它拆了。12个独立模块,每个只做一件事。贡献者不用在两千行里走钢丝,加个检测规则?写个模块,注册一下,插件系统接手剩下的事。
公共API纹丝不动。run_full_audit("https://yoursite.com")还是那行代码,返回的还是那个总分。但底下全换了。
13个安全补丁:beta周期里挖出来的雷
四个beta版本测出的安全问题,v4.0.0一次性清完。最疼的几个:
DNS Pinning。fetch_url()现在先解析IP,再对照黑名单,最后才发请求。防的是SSRF攻击——用户塞个URL,解析出来是内网地址(169.254.x.x、10.x.x.x那些),以前就直接打进去了。关键是解析后才检查,能挡住DNS重绑定这种阴招。
XSS清理。HTML报告生成器现在强制转义所有用户可控内容。以前页面标题里塞个
热门跟贴