言枢 1.0.0 发布说明
摘要
1.0 稳定线把言枢从基础路由与模板框架升级为受资源预算约束、可显式扩展且可跨库测试的 Web 应用边界。
主要变化
- 路由、中间件、请求和响应增加配置预算与稳定错误分类;
- 增加规范言据正文、言据值响应和 JSON/言据内容协商;
- 增加可注入会话存储协议、深复制数据、编号轮换与销毁;
- 增加同源双提交 CSRF 中间件和安全 Cookie 配置;
- 增加静态缓存控制、弱 ETag、修改日期、条件请求和单范围响应;
- 增加显式接口元数据、隔离快照和可注入 OpenAPI 3.1 提供器;
- 扩展无端口测试客户端的首部、Cookie 和字节正文能力;
- 新增
包:yanxu-web/言访测试,真实串联言访构建器与言枢应用; - 新增独立锁定的无端口言据/OpenAPI 示例包和路由/言访对照基准包;
- 补齐兼容、指南、API、架构、迁移、性能、安全与贡献文档。
兼容性
- 最低言序:1.1.12;
- 言枢默认模块与言标子模块:1.0.0;
- yanxu-http:1.0.0,兼容
^1.0; - yanxu-html:1.0.0,兼容
^1.0; - yanju:1.2.0,兼容
^1.2; - yanxu-request:1.0.0,兼容
^1.0。
Web应用/Web上下文/Web开发服务器/应用/开发服务器继续保留。完整矩阵见COMPATIBILITY.md。
迁移
重点迁移项:
- 升级到言序 1.1.12 并重新生成锁图;
- 用
创建应用(配置)设置明确预算; - 传入言据值时改用
言据值响应; - 会话接入显式存储协议;
- 状态变更浏览器路由接入 CSRF;
- 需要 OpenAPI 的路由改用显式接口登记;
- 删除测试中手工注入的分帧首部。
详见MIGRATION.md。
安全默认值
- 应用默认安全响应首部;
- 会话 Cookie 默认 Secure、HttpOnly、SameSite=Lax;
- CSRF Cookie 默认 Secure、SameSite=Strict;
- 静态文件拒绝危险路径和默认隐藏文件;
- 测试客户端拒绝分帧首部注入;
- OpenAPI 只包含显式登记路由并限制大小。
验证
当前稳定门禁包含 14 份规格,覆盖路由、中间件、配置、错误、模板、言据协商、会话、CSRF、静态文件、OpenAPI、测试客户端和言访集成。Release 构建由言序 1.1.12 和固定锁图生成。
文档门禁从编译器机器 API 清单验证顶层声明、类成员、协议成员、相对链接和必需文件。示例与基准均实际执行并校验结果。
已知限制
- 内建服务器只用于回环开发与集成,不提供生产 TLS 或并发工作池;
- 会话只有协议边界,不内置生产数据库或分布式存储;
- OpenAPI 由外部提供器生成,框架不执行完整 Schema 校验;
- 静态范围只支持单范围;
- 言访测试传输不模拟真实网络与 TLS。
这些限制不会被描述为已实现能力。部署与扩展责任见ARCHITECTURE.md和SECURITY_MODEL.md。