| 版本 | 支持状态 |
|---|---|
| 1.x.x | ✅ 支持 |
如果你发现了安全漏洞,请不要通过公开 Issue 报告。
请通过以下方式私下报告:
-
GitHub 私有漏洞报告(推荐)
- 访问 Report a vulnerability
- 或在仓库页面点击 Security → Report a vulnerability
-
邮件报告
- 通过 GitHub 个人主页联系方式发送邮件
- 主题行包含
[Security] CodeFrame标识
请包含以下信息:
- 漏洞描述
- 复现步骤
- 影响范围
- 可能的修复建议(如有)
| 阶段 | 时间 |
|---|---|
| 初步确认 | 48 小时内 |
| 漏洞评估 | 7 天内 |
| 修复发布 | 视严重程度而定 |
- 从官方渠道安装扩展(Chrome Web Store)
- 定期更新到最新版本
- 不要在不信任的网站使用截图功能
- 注意截图内容中可能包含的敏感信息
- 不要提交敏感信息(密钥、密码等)
- 使用
.env文件管理环境变量 - 遵循最小权限原则
- 代码提交前运行安全检查
- ✅ 所有图片处理在本地完成
- ✅ 不上传用户数据到服务器
- ✅ 不收集用户隐私信息
CodeFrame 仅申请必要的浏览器权限:
| 权限 | 用途 |
|---|---|
activeTab |
截取当前标签页 |
storage |
保存用户设置 |
contextMenus |
右键菜单功能 |
clipboardWrite |
复制图片到剪贴板 |
desktopCapture(可选) |
桌面窗口截图 |
扩展使用严格的 CSP 配置:
script-src 'self'; object-src 'self'
安全更新会通过以下方式发布:
- GitHub Release 公告
- Chrome Web Store 自动更新
- 安全公告页面
感谢以下安全研究人员对项目的贡献:
最后更新:2026-04-04