fix: 加固链接/图标安全与版本一致性；sync-articles 对齐 best-effort

- 模板与运行时统一做 URL scheme 白名单校验（不安全降级为 #），并清洗 icon class；分类标题/新增分类改用 DOM API 避免 innerHTML 注入 - sync-articles 主入口异常不再返回非 0 退出码，避免阻断 build/deploy - window.MeNav.version 改为从 meta menav-version/配置自动读取，避免写死版本 - 文档/配置：新增 security.allowedSchemes 配置说明
2026-01-04 18:18:57 +08:00
parent 4cc10dd2b2
commit 9929f60170
9 changed files with 288 additions and 88 deletions
--- a/templates/components/page-header.hbs
+++ b/templates/components/page-header.hbs
@@ -23,7 +23,7 @@
    {{#if projectsMeta.heatmap}}
    <div class="welcome-section-side">
        <div class="heatmap-container" title="我的 GitHub 贡献热力图">
-            <a href="{{projectsMeta.heatmap.profileUrl}}" target="_blank" rel="noopener">
+            <a href="{{safeUrl projectsMeta.heatmap.profileUrl}}" target="_blank" rel="noopener">
                <img class="heatmap-img"
                     src="{{projectsMeta.heatmap.imageUrl}}"
                     alt="Github Chart"