feat(web): 本地客户端改用目录浏览器(零上传),解决3万文件上传问题 v0.7.8

- 本地模式弃用 webkitdirectory 上传(会读整个node_modules弹3万文件)
- 改服务端 /browse 目录浏览器:网页点选文件夹→服务端直读本机扫描,零上传不出本机,跳过node_modules
- 公网模式禁 /browse(403,防扫服务器硬盘)
- test-web 18→20; 全套302全绿

Author: jnMetaCode

CHANGELOG.md

@@ -5,6 +5,15 @@ All notable changes to this project will be documented in this file.
 The format is based on [Keep a Changelog](https://keepachangelog.com/),
 and this project adheres to [Semantic Versioning](https://semver.org/).
 
+## [0.7.8] - 2026-06-20
+
+### Changed — 本地客户端改用「目录浏览器」，彻底解决上传 3 万文件的问题
+- **本地模式不再用浏览器文件夹上传**（webkitdirectory 会读取整个 node_modules，弹"上传 3 万+ 文件"、又慢又吓人）
+- 改为**服务端目录浏览器** `/browse`（仅本地模式）：在网页里点进本机文件夹 → 服务端**直接读取本机文件扫描**，**零上传、不出本机、自动跳过 node_modules**
+- 公网模式禁止 `/browse`（防止扫服务器硬盘），返回 403
+- 配合 0.7.7 跳过 `release/*.app` 构建产物，长路径不再压坏报告表格
+- `test-web.ts` 扩至 20 项（含目录浏览 + 公网拒绝浏览）；全套 **302 测试**全绿
+
 ## [0.7.7] - 2026-06-20
 
 ### Fixed — 真实项目扫描的两个问题（用户实测发现）

README.md

@@ -8,7 +8,7 @@
 
 [![npm](https://img.shields.io/npm/v/shellward?color=cb0000&label=npm)](https://www.npmjs.com/package/shellward)
 [![license](https://img.shields.io/badge/license-Apache--2.0-blue)](./LICENSE)
-[![tests](https://img.shields.io/badge/tests-300%20passing-brightgreen)](#performance)
+[![tests](https://img.shields.io/badge/tests-302%20passing-brightgreen)](#performance)
 [![deps](https://img.shields.io/badge/dependencies-0-brightgreen)](#performance)
 
 **🌐 官网: https://jnmetacode.github.io/shellward/**

package.json

@@ -1,6 +1,6 @@
 {
   "name": "shellward",
-  "version": "0.7.7",
+  "version": "0.7.8",
   "mcpName": "io.github.jnMetaCode/shellward",
   "description": "AI agent security & MCP security middleware — prompt injection detection, AI firewall, runtime guardrails & data-loss prevention for LLM tool calls. 8-layer defense against data exfiltration & dangerous commands. Zero dependencies. SDK + OpenClaw plugin. Supports LangChain, AutoGPT, Claude Code, Cursor, OpenAI Agents, Hermes Agent.",
   "keywords": [

src/web/scan-server.ts

@@ -15,8 +15,8 @@
 
 import { createServer } from 'http'
 import { spawn } from 'child_process'
-import { mkdtempSync, rmSync, existsSync, statSync, mkdirSync, writeFileSync } from 'fs'
-import { tmpdir } from 'os'
+import { mkdtempSync, rmSync, existsSync, statSync, mkdirSync, writeFileSync, readdirSync } from 'fs'
+import { tmpdir, homedir } from 'os'
 import { join, resolve, dirname, normalize, isAbsolute } from 'path'
 import { runProjectComplianceAudit } from '../compliance/audit.js'
 import { renderHtmlReport } from '../compliance/html-report.js'
@@ -58,6 +58,11 @@ export function startWebServer(opts: WebServerOptions): void {
         if (active >= MAX_CONCURRENT) return send(res, 503, 'text/html', errorPage('服务繁忙，请稍后再试'))
         return await handleUpload(req, res, locale, () => { active++ }, () => { active-- })
       }
+      // 本地目录浏览（仅本地模式）：服务端直接列子目录，让用户点选要扫的文件夹（零上传）
+      if (u.pathname === '/browse') {
+        if (!opts.local) return send(res, 403, 'application/json', JSON.stringify({ error: '仅本地模式可用' }))
+        return handleBrowse(res, u.searchParams.get('dir'))
+      }
       // 演示：扫一个内置的「含风险样例项目」——证明"秒出≠没检查"（满屏发现 + 行号）
       if (u.pathname === '/demo') {
         if (active >= MAX_CONCURRENT) return send(res, 503, 'text/html', errorPage('服务繁忙，请稍后再试'))
@@ -180,6 +185,27 @@ async function handleUpload(req: any, res: any, locale: 'zh' | 'en', inc: () =>
   }
 }
 
+/** 本地目录浏览：返回某目录下的子目录列表（供网页点选；不读文件内容、不上传） */
+function handleBrowse(res: any, dirParam: string | null) {
+  try {
+    const abs = resolve(dirParam && dirParam.trim() ? dirParam : homedir())
+    const entries = readdirSync(abs, { withFileTypes: true })
+      .filter(e => { try { return e.isDirectory() } catch { return false } })
+      .map(e => e.name)
+      .filter(n => !n.startsWith('.') && n !== 'node_modules')
+      .sort((a, b) => a.localeCompare(b))
+      .slice(0, 500)
+    const parent = dirname(abs)
+    send(res, 200, 'application/json', JSON.stringify({
+      current: abs,
+      parent: parent === abs ? null : parent,
+      dirs: entries,
+    }))
+  } catch (e: any) {
+    send(res, 200, 'application/json', JSON.stringify({ error: e?.message || String(e) }))
+  }
+}
+
 /** 演示：内置「含风险样例项目」扫描，证明检测真在工作 */
 function handleDemo(res: any, locale: 'zh' | 'en', inc: () => void, dec: () => void) {
   const dir = mkdtempSync(join(tmpdir(), 'sw-demo-'))
@@ -242,13 +268,13 @@ function formPage(local: boolean): string {
       </form>`
 
   const uploadForm = local ? `
-      <form id="dirform">
-        <label>① 选择本地项目文件夹（推荐）</label>
-        <input type="file" id="dir" webkitdirectory directory multiple>
-        <button id="dbtn" type="submit">开始体检 →</button>
-        <div id="status" class="status"></div>
-        <p class="hint">📂 直接选你的项目文件夹，无需敲路径。文件仅发送到<b>本机的本地服务</b>处理，<b>不经过任何外部服务器、不出本机</b>。</p>
-      </form>
+      <label>① 在本机点选项目文件夹（推荐 · 零上传）</label>
+      <div class="browser">
+        <div class="bpath" id="curpath">加载中…</div>
+        <ul class="dirs" id="dirs"></ul>
+      </div>
+      <button id="scanbtn" type="button">✅ 扫描当前文件夹 →</button>
+      <p class="hint">📂 在你电脑上点进项目目录，再点"扫描当前文件夹"。<b>服务端直接读取本机文件、零上传、不出本机</b>，自动跳过 node_modules，无需选 3 万个文件。</p>
       <div class="or">— 或 —</div>` : ''
 
   return page('ShellWard 合规体检', `
@@ -262,11 +288,30 @@ function formPage(local: boolean): string {
       <p class="foot">网安法 2026 · PIPL · 等保2.0 · 数据出境 · AI标识 ｜ 零依赖 · 开源 ·
         <a href="https://github.com/jnMetaCode/shellward">GitHub ⭐</a></p>
     </div>
-    ${local ? UPLOAD_SCRIPT : ''}`)
+    ${local ? BROWSE_SCRIPT : ''}`)
 }
 
-// 客户端：读取所选文件夹 → 过滤(跳过 node_modules 等、仅文本/配置、限大小) → POST 到本机服务
-// 注意：过滤后缀须与服务端 SCAN_EXT 对齐（含 .md），否则 markdown 项目会被全滤光显得"扫不了"。
+// 本地目录浏览器：点选文件夹 → 服务端直接扫（零上传，不读 node_modules）
+const BROWSE_SCRIPT = `<script>
+(function(){
+  var cur='';
+  function load(dir){
+    var cp=document.getElementById('curpath'); if(cp)cp.textContent='加载中…';
+    fetch('/browse?dir='+encodeURIComponent(dir||'')).then(function(r){return r.json()}).then(function(d){
+      if(d.error){ if(cp)cp.textContent='无法读取：'+d.error; return; }
+      cur=d.current; if(cp)cp.textContent=cur;
+      var ul=document.getElementById('dirs'); if(!ul)return; ul.innerHTML='';
+      if(d.parent){ var up=document.createElement('li'); up.className='up'; up.textContent='⬆ 上级目录'; up.onclick=function(){load(d.parent)}; ul.appendChild(up); }
+      if(!d.dirs.length){ var e=document.createElement('li'); e.className='empty'; e.textContent='（此目录无子文件夹，可直接点上方扫描）'; ul.appendChild(e); }
+      d.dirs.forEach(function(name){ var li=document.createElement('li'); li.textContent='📁 '+name; li.onclick=function(){ load(cur.replace(/\\/+$/,'')+'/'+name) }; ul.appendChild(li); });
+    }).catch(function(e){ if(cp)cp.textContent='错误：'+e; });
+  }
+  var sb=document.getElementById('scanbtn');
+  if(sb){ sb.onclick=function(){ if(cur){ sb.disabled=true; sb.textContent='扫描中…'; window.location.href='/scan?path='+encodeURIComponent(cur); } }; load(''); }
+})();
+</script>`
+
+// （旧上传脚本保留备用，当前本地模式改用目录浏览器）
 const UPLOAD_SCRIPT = `<script>
 (function(){
   var SKIP=/(^|\\/)(node_modules|\\.git|dist|build|\\.next|out|vendor|coverage|\\.venv|venv|__pycache__|target|\\.cache)(\\/|$)/;
@@ -337,6 +382,14 @@ form{margin:0 0 14px}.or{text-align:center;color:#94a3b8;font-size:13px;margin:6
 .status{display:none;margin:10px 0 0;padding:10px 14px;border-radius:8px;background:#f1f5f9;
 color:#334155;font-size:13.5px;border-left:3px solid #cb0000;text-align:left}
 .demo{margin:18px 0 0;font-size:13px;color:#475569}.demo a{font-weight:600}
+.browser{border:1px solid #cbd5e1;border-radius:10px;overflow:hidden;margin:4px 0 10px;text-align:left}
+.bpath{background:#0f172a;color:#93c5fd;font-family:ui-monospace,Menlo,monospace;font-size:12px;
+padding:9px 12px;word-break:break-all}
+.dirs{list-style:none;margin:0;padding:0;max-height:240px;overflow-y:auto}
+.dirs li{padding:9px 14px;border-top:1px solid #eef2f7;cursor:pointer;font-size:14px}
+.dirs li:hover{background:#f1f5f9}
+.dirs li.up{color:#cb0000;font-weight:600}
+.dirs li.empty{color:#94a3b8;cursor:default;font-size:13px}
 .foot{margin:24px 0 0;font-size:12.5px;color:#94a3b8}.foot a,.back{color:#cb0000;text-decoration:none}
 .back{font-weight:600}
 </style></head><body>${body}</body></html>`

test-web.ts

@@ -38,10 +38,14 @@ async function main() {
   test('服务启动并响应', up)
   if (up) {
     const home = await (await fetch(base + '/')).text()
-    test('首页含「选择本地项目文件夹」', home.includes('选择本地项目文件夹'))
-    test('首页含上传脚本 /scan-files', home.includes('scan-files'))
+    test('首页含目录浏览器（点选文件夹）', home.includes('扫描当前文件夹') && home.includes('curpath'))
     test('首页含 URL 入口', home.includes('公开仓库地址'))
 
+    // 目录浏览器：列子目录（零上传）
+    const browse = await (await fetch(base + '/browse?dir=' + encodeURIComponent(tmpdir()))).json() as any
+    test('/browse 返回当前目录与子目录列表', typeof browse.current === 'string' && Array.isArray(browse.dirs))
+    test('/browse 不列出 node_modules', !browse.dirs.includes('node_modules'))
+
     // 模拟浏览器上传（客户端读文件夹后发的 JSON）
     const payload = {
       root: 'myproj',
@@ -94,7 +98,10 @@ async function main() {
   test('公网服务启动', pup)
   if (pup) {
     const phome = await (await fetch(pbase + '/')).text()
-    test('公网首页不含本地上传（只 URL）', !phome.includes('选择本地项目文件夹') && phome.includes('公开仓库地址'))
+    test('公网首页不含本地目录浏览（只 URL）', !phome.includes('扫描当前文件夹') && phome.includes('公开仓库地址'))
+    // 公网模式禁止目录浏览（防止扫服务器硬盘）
+    const browseBlocked = await fetch(pbase + '/browse?dir=/etc')
+    test('公网模式拒绝目录浏览 (403)', browseBlocked.status === 403, `status=${browseBlocked.status}`)
     // 公网模式禁止本地路径扫描
     const blocked = await fetch(pbase + '/scan?path=/etc')
     test('公网模式拒绝本地路径扫描 (403)', blocked.status === 403, `status=${blocked.status}`)