fix: 收紧搜索 worker 兜底与 server 伪造段 evidence

setube · setube · commit 134b9a24af1a · 2026-05-12T12:55:59.000+08:00
兜底前端库识别把 search.&lt;hash&gt;.min.js 这种 mkdocs / docusaurus / vitepress 等文档站通用的搜索 worker 文件名加入 genericNames 黑名单——真实搜索库(Lunr / FlexSearch / Pagefind / Algolia)有专用规则和版权注释命中,兜底不该再多列一条「疑似前端库: search」。同时 Server / X-Powered-By 字段被反代叠加或伪造时(如 openresty, Microsoft-IIS/10.0),evidence 行只显示匹配命中的首段,避免用户看到拼接值误以为第二段也被采信。

将版本号提升到 1.3.45。
diff --git a/package.json b/package.json
@@ -1,7 +1,7 @@
 {
   "name": "stackprism",
   "private": true,
-  "version": "1.3.44",
+  "version": "1.3.45",
   "type": "module",
   "description": "StackPrism 用于检测网页前端、后端、CDN、SaaS、广告营销、统计、登录、支付、网站程序和主题模板线索。",
   "scripts": {
diff --git a/src/background/dynamic-snapshot.ts b/src/background/dynamic-snapshot.ts
@@ -151,6 +151,9 @@ const isLikelyDynamicLibraryFileName = name => {
     'requirejs',
     'system',
     'systemjs',
+    // 文档站 / 内容站常见的搜索 worker 文件名（mkdocs / docusaurus / vitepress 等都叫这名），
+    // 真实的搜索库（Lunr / FlexSearch / Pagefind / Algolia）会通过专用规则或版权注释命中
+    'search',
     // 站点自身的内部脚本，不是公共库
     'tgwallpaper'
   ])
diff --git a/src/background/headers.ts b/src/background/headers.ts
@@ -83,14 +83,17 @@ const applyHeaderValueRuleList = (add: any, rules: any[], value: string, rawValu
 
   // Server / X-Powered-By 字段正常只对应一个产品；带逗号往往是反代叠加或伪造
   // 只匹配第一段，避免被「openresty, Microsoft-IIS/10.0」这种伪造糊弄
-  const primaryValue = headerName === 'server' || headerName === 'x-powered-by' ? value.split(',')[0].trim() : value
+  const isSplitField = headerName === 'server' || headerName === 'x-powered-by'
+  const primaryValue = isSplitField ? value.split(',')[0].trim() : value
   if (!primaryValue) return
+  // evidence 也只显示首段，避免用户看到「server: openresty, Microsoft-IIS/10.0」误以为 IIS 也被采信
+  const displayValue = isSplitField ? (rawValue?.split(',')[0]?.trim() ?? rawValue) : rawValue
 
   for (const rule of rules) {
     if (!matchesHeaderPatterns(rule.patterns, primaryValue, rule)) continue
-    const evidence = rule.evidence || `${headerName}: ${rawValue}`
+    const evidence = rule.evidence || `${headerName}: ${displayValue}`
     add(rule.category || '其他库', rule.name, rule.confidence || '高', evidence)
-    if (headerName === 'server' || headerName === 'x-powered-by') break // 这两个字段正常只标识一种产品
+    if (isSplitField) break // 这两个字段正常只标识一种产品
   }
 }
 
diff --git a/src/injected/page-detector.ts b/src/injected/page-detector.ts
@@ -429,6 +429,9 @@ const detectPageTechnologies = async (ruleConfig: Record<string, unknown> = {})
       'requirejs',
       'system',
       'systemjs',
+      // 文档站 / 内容站常见的搜索 worker 文件名（mkdocs / docusaurus / vitepress 等都叫这名），
+      // 真实的搜索库（Lunr / FlexSearch / Pagefind / Algolia）会通过专用规则或版权注释命中
+      'search',
       // 站点自身的内部脚本，不是公共库
       'tgwallpaper'
     ])

Original file line number	Diff line number	Diff line change
`@@ -1,7 +1,7 @@`
`1`	`1`	`{`
`2`	`2`	`"name": "stackprism",`
`3`	`3`	`"private": true,`
`4`		`- "version": "1.3.44",`
	`4`	`+ "version": "1.3.45",`
`5`	`5`	`"type": "module",`
`6`	`6`	`"description": "StackPrism 用于检测网页前端、后端、CDN、SaaS、广告营销、统计、登录、支付、网站程序和主题模板线索。",`
`7`	`7`	`"scripts": {`