fix: 加固链接/图标安全与版本一致性；sync-articles 对齐 best-effort

- 模板与运行时统一做 URL scheme 白名单校验（不安全降级为 #），并清洗 icon class；分类标题/新增分类改用 DOM API 避免 innerHTML 注入 - sync-articles 主入口异常不再返回非 0 退出码，避免阻断 build/deploy - window.MeNav.version 改为从 meta menav-version/配置自动读取，避免写死版本 - 文档/配置：新增 security.allowedSchemes 配置说明
2026-01-04 18:18:57 +08:00
parent 4cc10dd2b2
commit 9929f60170
9 changed files with 288 additions and 88 deletions
--- a/config/_default/site.yml
+++ b/config/_default/site.yml
@@ -21,6 +21,19 @@ icons:
  # 说明：如果你在中国大陆且访问 gstatic.com 较慢，建议设置为 cn 以提升图标加载速度
  region: cn # 可选: com | cn（默认 com）

+# 安全策略（可选）：链接 URL scheme 白名单
+# - 默认允许：http/https/mailto/tel + 所有相对链接（# / ./ ../ ?）
+# - 其他 scheme 会在页面中安全降级为 # 并输出告警（避免 javascript: 等危险链接变成可点击）
+# - 如需支持 obsidian://、vscode:// 等自定义协议，可在此显式放行
+security:
+  allowedSchemes:
+    - http
+    - https
+    - mailto
+    - tel
+  # 示例：
+  # allowedSchemes: [http, https, mailto, tel, obsidian, vscode]
+
 # 字体设置：全站基础字体
 # - source: css | google | system
 # - css: 通过 cssUrl 引入第三方字体 CSS