v7.5.5

🚀 Improvement

• imprv: Enable API token header "X-GROWI-ACCESS-TOKEN" (#11244) @yuki-takei
  • Adds X-GROWI-ACCESS-TOKEN as a new HTTP request header for API authentication, providing a secure alternative when the Authorization header is already occupied (e.g., by Basic auth on a reverse proxy). Tokens no longer need to be exposed as URL query parameters.
  • リバースプロキシなどで Authorization ヘッダーが既に使用されている環境でも、X-GROWI-ACCESS-TOKEN ヘッダーで安全に API トークンを送信できるようになりました。トークンを URL に含めるリスクを回避できます。

🐛 Bug Fixes

• fix: disable $lsx() and attachment-refs directives on share link pages to prevent Basic auth challenge (#11271) @yuki-takei
  • 共有リンクページで $lsx() および添付ファイル参照ディレクティブを無効化し、Basic 認証チャレンジが発生する問題を修正。
• fix: Prevent bulk-export cleanup race on shared attachment (#11229) @tomoyuki-t-weseek
  • バルクエクスポート時の共有添付ファイルクリーンアップで競合状態が発生する問題を修正。
• fix: Remove uglifycss to preserve CSS Color Level 4 syntax (#11277) @yuki-takei
  • uglifycss を削除し、CSS Color Level 4 構文が正しく保持されるよう修正。
• fix: Index rebuild fails on boot when initializing a Crowi instance takes a long time (#11247) @ryu-sato
  • Crowi インスタンスの初期化に時間がかかる場合、起動時のインデックス再構築が失敗する問題を修正。
• fix: Page operations and v5 page migration fail for paths containing non-ASCII whitespace (e.g. U+3000) (#11236) @yuki-takei
  • 全角スペース（U+3000）などの非 ASCII 空白文字を含むページパスで、ページ操作・v5 マイグレーションが失敗する問題を修正。
• fix(editor): fix Shift+Arrow selection stuck on wrapped lines by upgrading @codemirror/commands to ^6.10.3 (#11264) @yuki-takei
  • @codemirror/commands を ^6.10.3 に更新し、折り返し行での Shift+矢印キーによる選択がスタックする問題を修正。
• fix(editor): Preserve page grant on mobile & before grant loads (#11272) (#11276) @yuki-takei
  • モバイル端末およびグラント情報読み込み前にページのグラント設定が失われる問題を修正。
• fix(ui): right-align ModalHeader close content wrapped in a custom element (#11269) @yuki-takei
  • カスタム要素でラップされた ModalHeader の閉じるボタンが正しく右揃えになるよう修正。
• fix(attachment): deny direct access to /uploads to prevent stored XSS (#11257) @miya
  • /uploads への直接アクセスを拒否し、Stored XSS を防止するよう修正。
• fix(page-grant): guard against TypeError when grantedUsers is empty in calcApplicableGrantData (#11211) @yuki-takei
  • calcApplicableGrantData で grantedUsers が空の場合に TypeError が発生する問題を修正。

🧰 Maintenance

• support: Verify initial pages are created with content after installation (#11234) @Ryosei-Fukushima
  • Adds Playwright tests to verify that the initial pages (/ and /Sandbox) are created with their expected content after installation, preventing regressions like the empty-page bug introduced in v7.5.0.
  • インストール後に初期ページ（/ と /Sandbox）が正しいコンテンツで生成されることを確認する Playwright テストを追加。v7.5.0 で発生したページ本文が空になる問題の再発を防止します。
• ci(deps): bump mermaid from 11.10.0 to 11.15.0 (#11121) @dependabot[bot]
• ci(deps): bump axios from 1.15.0 to 1.16.0 (#11260) @dependabot[bot]
• ci(deps): bump qs from 6.14.2 to 6.15.2 (#11209) @dependabot[bot]
• ci(deps-dev): bump turbo from 2.1.3 to 2.9.14 (#11202) @dependabot[bot]
• ci(deps): bump js-cookie from 3.0.5 to 3.0.7 (#11205) @dependabot[bot]