feat: 发布新版本

Author: Taois

.env.development

@@ -61,4 +61,7 @@ API_ACTION_TIMEOUT=60
 WEBDAV_DEBUG=0
 
 # 是否启用后台管理在线终端模拟功能 (0/false不启用，1/true启用，默认0)
-ENABLE_TERMINAL=0
+ENABLE_TERMINAL=0
+
+# 生产环境只读模式（开启后将禁止通过管理面板修改/删除文件、禁止远程重启服务，防止RCE）
+READ_ONLY_MODE=0

controllers/admin/filesController.js

@@ -114,6 +114,12 @@ export async function readFile(req, reply) {
 // 写入文件
 export async function writeFile(req, reply) {
     try {
+        if (process.env.READ_ONLY_MODE === '1') {
+            return reply.code(403).send({
+                error: '系统当前处于只读模式，禁止修改文件'
+            });
+        }
+
         const { path: filePath, content } = req.body;
 
         if (!filePath || !isSafePath(filePath)) {
@@ -144,6 +150,12 @@ export async function writeFile(req, reply) {
 // 删除文件
 export async function deleteFile(req, reply) {
     try {
+        if (process.env.READ_ONLY_MODE === '1') {
+            return reply.code(403).send({
+                error: '系统当前处于只读模式，禁止删除文件'
+            });
+        }
+
         const { path: filePath } = req.query; // in fastify, DELETE params might be in query or we can use body depending on client
 
         const fp = filePath || (req.body && req.body.path);

controllers/admin/systemController.js

@@ -59,6 +59,13 @@ export async function getHealth(req, reply) {
 // 服务重启
 export async function restartService(req, reply) {
     try {
+        if (process.env.READ_ONLY_MODE === '1') {
+            return reply.send({
+                success: false,
+                message: '系统当前处于只读模式，禁止远程重启服务'
+            });
+        }
+
         // 检查是否在 PM2 环境运行
         try {
             await execPromise('pm2 restart drpys');

controllers/admin/terminalController.js

@@ -20,15 +20,22 @@ try {
 export const getTerminalStatus = (req, reply) => {
     // 检查环境变量是否启用了终端功能，默认不启用 (0 或 false)
     const isTerminalEnabled = process.env.ENABLE_TERMINAL === '1' || process.env.ENABLE_TERMINAL === 'true';
+    const isReadOnly = process.env.READ_ONLY_MODE === '1';
 
     return reply.send({ 
-        available: isPtyAvailable && isTerminalEnabled 
+        available: isPtyAvailable && isTerminalEnabled && !isReadOnly 
     });
 };
 
 export const handleTerminalWs = (socket, req) => {
     const isTerminalEnabled = process.env.ENABLE_TERMINAL === '1' || process.env.ENABLE_TERMINAL === 'true';
 
+    if (process.env.READ_ONLY_MODE === '1') {
+        socket.send('\r\n\x1b[31m[!] Terminal feature is disabled because the system is in READ_ONLY_MODE.\x1b[0m\r\n');
+        socket.close();
+        return;
+    }
+
     if (!isTerminalEnabled) {
         socket.send('\r\n\x1b[31m[!] Terminal feature is disabled. Please set ENABLE_TERMINAL=1 in .env to enable it.\x1b[0m\r\n');
         socket.close();

docs/updateRecord.md

@@ -9,6 +9,7 @@
 3. 修复了RSA在node24以上版本不兼容PCSK1解密协议问题导致APP影视模板.js分发的源不可用问题(重要)
 4. 后台管理继续打磨，4层保底使用SQLite,最明确方式获取当前项目目录，修复上个版本在大部分市面壳子上出现服务异常的问题
 5. 加了点隐藏功能，一般人应该发现不了
+6. 增加了RCE攻击防护
 
 ### 20260320