Closed yushijinhun closed 3 years ago
此 PR 使用了新的 skinDomains 匹配方法,以规避原先方法可能带来的安全问题。
API 元数据 中包含了一项名为 skinDomains 的属性,即材质白名单。仅当材质 URL 的域名匹配白名单中的规则时,Minecraft 才会下载这一材质。引入这一机制的原因见 MC-78491。
skinDomains
目前,authlib-injector 使用的匹配方法沿用自原版 MC,具体为:材质域名须以白名单中的任意一项结尾。例如:
.example.com
a.example.com
b.a.example.com
example.com
eexample.com
如果您要匹配 example.com 下的子域名,您可以使用 .example.com 规则,这并无问题;但若您要匹配 example.com 这个顶级域名,您就必须使用 example.com 规则,但 example.com 与此同时也会匹配 eexample.com,而这就造成了潜在的安全问题。
将 skinDomains 的匹配方法修改为如下:
.
由于新的匹配方法更为严格,因此可能造成兼容性问题。
如果您使用单条规则(如 example.com)去同时匹配某个域名(如 example.com)及其下的子域名(如 a.example.com),这将不再有效。您需要使用 example.com(匹配顶级域名)和 .example.com(匹配子域名)两条规则。
此 PR 使用了新的 skinDomains 匹配方法,以规避原先方法可能带来的安全问题。
问题背景
API 元数据 中包含了一项名为
skinDomains的属性,即材质白名单。仅当材质 URL 的域名匹配白名单中的规则时,Minecraft 才会下载这一材质。引入这一机制的原因见 MC-78491。目前,authlib-injector 使用的匹配方法沿用自原版 MC,具体为:材质域名须以白名单中的任意一项结尾。例如:
.example.com匹配a.example.com、b.a.example.com,不匹配example.com。example.com匹配example.com、a.example.com、eexample.com。如果您要匹配
example.com下的子域名,您可以使用.example.com规则,这并无问题;但若您要匹配example.com这个顶级域名,您就必须使用example.com规则,但example.com与此同时也会匹配eexample.com,而这就造成了潜在的安全问题。解决方法
将
skinDomains的匹配方法修改为如下:.(dot) 开头,则匹配以这一规则结尾的域名。.example.com匹配a.example.com、b.a.example.com,不匹配example.com。.(dot) 开头,则匹配的域名须与规则完全相同。example.com匹配example.com,不匹配a.example.com、eexample.com。兼容性
由于新的匹配方法更为严格,因此可能造成兼容性问题。
如果您使用单条规则(如
example.com)去同时匹配某个域名(如example.com)及其下的子域名(如a.example.com),这将不再有效。您需要使用example.com(匹配顶级域名)和.example.com(匹配子域名)两条规则。