Skip to content

言枢 1.0.0

Latest

Choose a tag to compare

@LiuXiu233 LiuXiu233 released this 18 Jul 09:05
795b806

言枢 1.0.0 发布说明

摘要

1.0 稳定线把言枢从基础路由与模板框架升级为受资源预算约束、可显式扩展且可跨库测试的 Web 应用边界。

主要变化

  • 路由、中间件、请求和响应增加配置预算与稳定错误分类;
  • 增加规范言据正文、言据值响应和 JSON/言据内容协商;
  • 增加可注入会话存储协议、深复制数据、编号轮换与销毁;
  • 增加同源双提交 CSRF 中间件和安全 Cookie 配置;
  • 增加静态缓存控制、弱 ETag、修改日期、条件请求和单范围响应;
  • 增加显式接口元数据、隔离快照和可注入 OpenAPI 3.1 提供器;
  • 扩展无端口测试客户端的首部、Cookie 和字节正文能力;
  • 新增包:yanxu-web/言访测试,真实串联言访构建器与言枢应用;
  • 新增独立锁定的无端口言据/OpenAPI 示例包和路由/言访对照基准包;
  • 补齐兼容、指南、API、架构、迁移、性能、安全与贡献文档。

兼容性

  • 最低言序:1.1.12;
  • 言枢默认模块与言标子模块:1.0.0;
  • yanxu-http:1.0.0,兼容^1.0
  • yanxu-html:1.0.0,兼容^1.0
  • yanju:1.2.0,兼容^1.2
  • yanxu-request:1.0.0,兼容^1.0

Web应用/Web上下文/Web开发服务器/应用/开发服务器继续保留。完整矩阵见COMPATIBILITY.md

迁移

重点迁移项:

  1. 升级到言序 1.1.12 并重新生成锁图;
  2. 创建应用(配置)设置明确预算;
  3. 传入言据值时改用言据值响应
  4. 会话接入显式存储协议;
  5. 状态变更浏览器路由接入 CSRF;
  6. 需要 OpenAPI 的路由改用显式接口登记;
  7. 删除测试中手工注入的分帧首部。

详见MIGRATION.md

安全默认值

  • 应用默认安全响应首部;
  • 会话 Cookie 默认 Secure、HttpOnly、SameSite=Lax;
  • CSRF Cookie 默认 Secure、SameSite=Strict;
  • 静态文件拒绝危险路径和默认隐藏文件;
  • 测试客户端拒绝分帧首部注入;
  • OpenAPI 只包含显式登记路由并限制大小。

验证

当前稳定门禁包含 14 份规格,覆盖路由、中间件、配置、错误、模板、言据协商、会话、CSRF、静态文件、OpenAPI、测试客户端和言访集成。Release 构建由言序 1.1.12 和固定锁图生成。

文档门禁从编译器机器 API 清单验证顶层声明、类成员、协议成员、相对链接和必需文件。示例与基准均实际执行并校验结果。

已知限制

  • 内建服务器只用于回环开发与集成,不提供生产 TLS 或并发工作池;
  • 会话只有协议边界,不内置生产数据库或分布式存储;
  • OpenAPI 由外部提供器生成,框架不执行完整 Schema 校验;
  • 静态范围只支持单范围;
  • 言访测试传输不模拟真实网络与 TLS。

这些限制不会被描述为已实现能力。部署与扩展责任见ARCHITECTURE.mdSECURITY_MODEL.md