Чинит загрузку данных админ-панели: origin воркера в CSP (#174)

[konard]

Проблема (issue #174)

После исправлений #172/#173 и деплоя через установщик админ-панель по-прежнему не показывала никаких данных — «всё осталось как до решения issue».

Корневая причина

Админ-панель загружает все наборы данных из кросс-доменного Cloudflare Worker (/admin/api/*, см. assets/js/admin.js → worker/src/adminPanel.js). Но origin воркера отсутствовал в директиве connect-src CSP админ-страницы:

connect-src 'self' https://api.telegram.org https://tganalytics.xyz https://mc.yandex.ru

Браузер блокировал все запросы к воркеру (stats, fraud-flags, top-users, users, audit-log) ещё до отправки. Поэтому панель показывала баннер Failed to load data… и пустые метрики —. Логика загрузки из #172 была корректной, но её эффект был не виден — запросы не доходили до сети.

Остальные страницы, работающие с воркером (redeem, intro, otc, referral), уже перечисляют его origin в connect-src — админ-страница была единственным исключением.

Воспроизведение

experiments/admin-csp-repro.mjs поднимает статический сайт (origin A) и mock-воркер (origin B), как при реальном деплое. В консоли браузера:

Refused to connect to 'http://localhost:8090/admin/api/stats' because it violates
the document's Content Security Policy. @ admin.js:113

Исправление

• src/_includes/admin-page.njk и собранный admin/index.html: в connect-src добавлен https://ton-bridge-worker.tonbankcard.workers.dev. Установщик переписывает этот литерал на реальный URL воркера (tonbridge_installer_static_replacements) — ровно так же, как для redeem-страницы.
• assets/js/admin.js: DEFAULT_API_BASE выровнен с auth.js (https://ton-bridge-worker.tonbankcard.workers.dev). Раньше там был нерабочий плейсхолдер ...YOUR_ACCOUNT..., которого нет в списке замен установщика.

Тесты (регрессионная защита)

Существующие tests/admin.spec.js патчат window.fetch до запуска скриптов и намеренно обходят CSP, поэтому этот баг поймать не могли. Добавлены проверки на уровне статического контента:

• tests/deployment-assets.test.php — собранный admin/index.html несёт origin воркера в connect-src.
• tests/installer.test.php — установщик переписывает origin воркера в админ-CSP.
• tests/csp-sri.spec.js (e2e) — connect-src админ-страницы в dist/ содержит origin воркера.

Все проверки проходят локально: npm run test:installer, npm run test:admin-panel, npm run check:i18n, e2e csp-sri + admin (88 passed).

Скриншоты

До (CSP блокирует запросы — баннер ошибки, метрики —):

После (origin воркера разрешён — данные загружаются):

Closes #174

[konard]

Working session summary

Готово. Issue #174 решена, PR #175 обновлён и готов к ревью.

Что было не так

Админ-панель тянет все данные из кросс-доменного Cloudflare Worker (/admin/api/*). Но origin воркера отсутствовал в директиве connect-src CSP админ-страницы:

connect-src 'self' https://api.telegram.org https://tganalytics.xyz https://mc.yandex.ru

Браузер блокировал все запросы к воркеру ещё до отправки → баннер Failed to load data… и пустые метрики —. Логика загрузки из #172/#173 была корректной, но её эффект был не виден после деплоя через установщик. Остальные страницы с воркером (redeem, intro, otc, referral) уже имели его origin в connect-src — админ-страница была единственным исключением.

Подтверждено эмпирически в браузере (Playwright): ошибка Refused to connect … violates the document's Content Security Policy. @ admin.js:113 для всех 5 эндпоинтов. После фикса все данные загружаются (см. скриншоты before/after в PR).

Исправление

• src/_includes/admin-page.njk + собранный admin/index.html: в connect-src добавлен https://ton-bridge-worker.tonbankcard.workers.dev (установщик переписывает литерал на реальный URL воркера — как для redeem).
• assets/js/admin.js: DEFAULT_API_BASE выровнен с auth.js (был нерабочий плейсхолдер ...YOUR_ACCOUNT..., отсутствующий в заменах установщика).

Регрессионная защита

Существующие admin.spec.js патчат window.fetch до запуска скриптов и намеренно обходят CSP — поэтому баг и проскочил. Добавлены проверки на уровне статического контента:

• tests/deployment-assets.test.php — собранный admin/index.html несёт origin воркера.
• tests/installer.test.php — установщик переписывает origin в админ-CSP.
• tests/csp-sri.spec.js (e2e) — connect-src в dist/ содержит origin воркера.

Статус

• Локально и в CI всё зелёное: 14 джобов success (Deploy пропущен — только для main), Playwright 88 passed.
• Рабочее дерево чистое, ветка issue-174-13bb3a9dd007 запушена.
• PR снят с черновика, скриншоты доступны (HTTP 200).

PR: #175

---

This summary was automatically extracted from the AI working session output.

[konard]

🤖 Solution Draft Log

This log file contains the complete execution trace of the AI solution draft process.

💰 Cost: $8.098061

📊 Context and tokens usage:

Claude Opus 4.7: (2 sub-sessions)

1. 116.3K / 1M (12%) input tokens, 38.9K / 128K (30%) output tokens
2. 107.6K / 1M (11%) input tokens, 31.5K / 128K (25%) output tokens

Total: (14.1K new + 293.4K cache writes + 8.5M cache reads) input tokens, 77.2K output tokens, $8.098061 cost

🤖 Models used:

• Tool: Anthropic Claude Code
• Requested: opus
• Model: Claude Opus 4.7 (claude-opus-4-7)

📎 Log file uploaded as Gist (3935KB)

• View complete solution draft log

---

Now working session is ended, feel free to review and add any feedback on the solution draft.

[konard]

✅ Ready to merge

This pull request is now ready to be merged:

• All CI checks have passed
• No merge conflicts
• No pending changes

---

Monitored by hive-mind with --auto-restart-until-mergeable flag