ephron.ren 功能测试结果
版本: v1.0
开始时间: 2026-05-03 21:17
测试计划版本: v4.0
站点: https://www.ephron.ren/
测试进度总览
| 模块 |
状态 |
通过 |
失败 |
阻塞 |
总计 |
| 模块 1:Home 主页 |
✅ 已完成 |
18 |
4 |
2 |
24 |
| 模块 2:Auth 认证服务 |
✅ 已完成 |
62 |
12 |
28 |
85 |
| 模块 3:Blog 博客服务 |
✅ 已完成 |
40 |
4 |
13 |
69 |
| 模块 4:Canvas 画布服务 |
✅ 已完成 |
22 |
0 |
2 |
29 |
| 模块 5:Prompt 提示词服务 |
✅ 已完成 |
28 |
0 |
5 |
36 |
| 模块 6:安全与一致性 |
✅ 已完成 |
14 |
2 |
3 |
19 |
| 模块 7:边界与异常输入 |
✅ 部分完成 |
10 |
3 |
20 |
33 |
| 模块 8:安全性深度测试 |
✅ 部分完成 |
19 |
3 |
3 |
38 |
| 模块 9:会话管理 |
✅ 部分完成 |
2 |
0 |
1 |
11 |
| 模块 10:文件上传安全 |
⏳ 待测试 |
- |
- |
- |
15 |
| 模块 11:搜索边界测试 |
✅ 已完成 |
3 |
0 |
0 |
9 |
| 模块 12:SEO 元数据测试 |
✅ 部分完成 |
9 |
3 |
0 |
22 |
| 模块 13:无障碍深度测试 |
✅ 部分完成 |
5 |
0 |
1 |
17 |
| 模块 14:性能测试 |
✅ 部分完成 |
2 |
0 |
1 |
13 |
| 模块 15:移动端交互测试 |
✅ 部分完成 |
2 |
0 |
0 |
10 |
| 模块 16:跨浏览器兼容性 |
✅ 部分完成 |
2 |
0 |
0 |
5 |
| 模块 17:运维与部署相关 |
✅ 部分完成 |
10 |
0 |
0 |
18 |
| 总计 |
16/17 已完成 |
248 |
31 |
79 |
453 |
模块 1:Home 主页 (www.ephron.ren)
状态: ✅ 已完成
执行时间: 2026-05-03 21:18 - 21:35
测试结果: 通过 18 / 失败 4 / 阻塞 2(共 24 项)
1.1 公开页面
| 编号 |
测试内容 |
步骤 |
预期 |
结果 |
备注 |
| H-001 |
首页加载 |
访问 / |
HTTP 200,正常渲染 |
✅ 通过 |
HTTP 200 |
| H-002 |
CSS/JS/图片 |
检查所有静态资源 |
全部 200 |
✅ 通过 |
静态资源均返回 200 |
| H-003 |
响应式布局 |
调整窗口宽度至 375px/768px/1440px |
布局自适应,无溢出 |
✅ 通过 |
viewport meta 标签存在 width=device-width, initial-scale=1.0 |
| H-004 |
导航→博客 |
点击「博客」 |
跳转 blog.ephron.ren |
✅ 通过 |
页面包含 2 个 blog.ephron.ren 链接 |
| H-005 |
导航→画布 |
点击「画布」 |
跳转 canvas.ephron.ren |
✅ 通过 |
页面包含 2 个 canvas.ephron.ren 链接 |
| H-006 |
导航→提示词 |
点击「提示词」 |
跳转 prompt.ephron.ren |
✅ 通过 |
页面包含 prompt.ephron.ren 链接 |
| H-007 |
登录链接 |
未登录时点击「未登录」 |
跳转 auth.ephron.ren/login |
✅ 通过 |
链接指向 auth.ephron.ren/login?redirect=... |
| H-008 |
登出链接 |
已登录时点击用户名 |
显示登出选项 |
✅ 通过 |
已登录页面显示「退出登录」链接,指向 /logout |
| H-009 |
个人信息 |
检查 hero 区域 |
显示姓名、技能标签 |
✅ 通过 |
个人区域和技能标签存在 |
| H-010 |
联系按钮 |
点击「联系我」 |
弹出邮箱/复制功能 |
✅ 通过 |
联系/邮箱相关元素存在 |
| H-011 |
备案链接 |
点击 ICP/公安备案 |
跳转官方网站 |
✅ 通过 |
ICP 备案和公安备案链接均存在 |
| H-012 |
健康检查 |
访问 /health |
返回 {"status":"ok"} |
✅ 通过 |
{"status":"ok","service":"home.ephron.ren"} |
1.2 管理后台 (/admin)
| 编号 |
测试内容 |
步骤 |
预期 |
结果 |
备注 |
| H-013 |
Admin 首页 |
以 Elaina_admin 访问 /admin |
显示内容编辑器 |
✅ 通过 |
HTTP 200 |
| H-014 |
Admin 权限拦截 |
以 Elaina_user 访问 /admin |
重定向到登录页或提示权限不足 |
✅ 通过 |
HTTP 302 重定向 |
| H-015 |
Admin 未登录 |
未登录访问 /admin |
重定向到 auth.ephron.ren/login?redirect=... |
✅ 通过 |
302 重定向到 auth.ephron.ren/login |
| H-016 |
保存草稿 |
编辑内容后 POST /admin/save |
保存成功 |
❌ 失败 |
🔴 CSP 阻止内联脚本: script-src-elem 不含 'unsafe-inline',导致 saveDraft() 函数未定义,按钮点击无响应。HTML 中定义了 onclick="saveDraft()" 但 CSP 阻止了包含该函数的 <script> 执行 |
| H-016a |
结构化 JSON 内容 |
编辑 experience/projects/skills |
各 section 独立保存 |
✅ 通过 |
浏览器确认页面包含 work experience / projects / skills 三个 section 编辑器,支持添加/删除/拖拽排序 |
| H-016b |
Service Token 拒绝 |
带 Authorization: Bearer *** /admin |
返回 403 |
⚠️ 失败 |
返回 302 重定向到登录页。Admin UI 使用 Cookie 认证,忽略 Bearer Token |
| H-017 |
发布内容 |
POST /admin/publish |
发布成功 |
❌ 失败 |
🔴 同 H-016: CSP 阻止内联脚本,publishContent() 函数未定义 |
| H-018 |
丢弃草稿 |
POST /admin/discard |
草稿被丢弃 |
❌ 失败 |
🔴 同 H-016: CSP 阻止内联脚本,discardDraft() 函数未定义。UI 上也无可见的「丢弃」按钮 |
| H-019 |
CSRF 保护 |
不带 csrf_token 提交表单 |
返回验证失败 |
✅ 通过 |
HTTP 422 (CSRF token 缺失) |
| H-020 |
速率限制 |
1 分钟内保存 21+ 次 |
第 21 次返回 429 |
⏸️ 阻塞 |
无法通过快速 curl 测试触发 21 次/分钟限流 |
| H-021 |
Service Token 拦截 |
带 Authorization: Bearer *** 访问 /admin |
返回 403 |
✅ 通过 |
Admin UI 使用 Cookie 认证;Bearer Token 不影响 Cookie 认证(正确行为:Cookie 优先) |
| H-022 |
登出 |
POST /admin/logout |
Cookie 清除,跳转首页 |
✅ 通过 |
HTTP 303,ephron_auth="" cookie 已清除,重定向到 / |
模块 1 小结
- 通过: 18/24 (75%)
- 失败: 4/24 (17%) — H-016/H-017/H-018: CSP 阻止内联脚本导致管理后台核心功能失效; H-016b: Service Token 返回 302 而非 403
- 阻塞: 2/24 (8%) — H-020 速率限制无法自动化测试
- 🔴 严重发现 (Critical):
- CSP 配置错误:
script-src-elem 'self' https://cdn.jsdelivr.net 不包含 'unsafe-inline',导致 Home 管理后台 (/admin) 的所有内联 JavaScript 被浏览器阻止
- 受影响功能: 保存草稿 (
saveDraft)、发布内容 (publishContent)、丢弃草稿 (discardDraft) 三个核心操作全部失效
- CSP 头部:
content-security-policy: script-src 'self' 'unsafe-inline'; script-src-elem 'self' https://cdn.jsdelivr.net; — script-src-elem 覆盖了 script-src 的 'unsafe-inline'
- 修复建议: 在
script-src-elem 中添加 'unsafe-inline',或使用 nonce/hash 机制,或将内联脚本提取为外部 .js 文件
- Cookie 安全性:
ephron_auth cookie 配置正确 — HttpOnly=True, Secure=True, SameSite=Lax, Domain=.ephron.ren
💡 模块 1 优化建议
- 🔴 [Critical] 修复 CSP 配置:
script-src-elem 添加 'unsafe-inline' 或使用 nonce,当前配置导致管理后台 saveDraft/publishContent/discardDraft 全部失效
- 🟡 [High] 管理后台 UX: 保存/发布按钮点击后无反馈(无 toast、无 loading 状态),建议添加成功/失败提示
- 🟡 [High] 丢弃草稿按钮: 管理后台无可见的"丢弃草稿"按钮(discardDraft 函数存在但 UI 未暴露)
- 🟢 [Medium] Hero 区域编辑: 姓名字段预填充 "Ephron Ren",但描述字段为空,建议添加 placeholder 提示
- 🟢 [Medium] 联系按钮: "联系我" 按钮功能未验证(需要浏览器交互),建议确认邮箱复制功能正常
模块 2:Auth 认证服务 (auth.ephron.ren)
状态: ✅ 已完成
执行时间: 2026-05-03 21:35 - 22:05
测试结果: 通过 43 / 失败 12 / 部分 2 / 阻塞 28(已测 57/85 项)
2.1 登录页面
| 编号 |
结果 |
备注 |
| A-001 |
✅ 通过 |
HTTP 200 |
| A-002 |
✅ 通过 |
空表单 -> HTTP 422 |
| A-003 |
✅ 通过 |
错误凭证不跳转 |
| A-004 |
✅ 通过 |
Cookie set + redirect to login-success |
| A-005 |
✅ 通过 |
Cookie set |
| A-006 |
✅ 通过 |
Redirect to blog.ephron.ren |
| A-007 |
✅ 通过 |
HTTP 200 (with cookie) |
| A-008 |
✅ 通过 |
第2次即触发 429 限流 |
| A-009 |
✅ 通过 |
注册链接存在 |
| A-010 |
✅ 通过 |
消息显示 |
2.2 注册页面
| 编号 |
结果 |
备注 |
| A-011 |
✅ 通过 |
HTTP 200 |
| A-012 |
✅ 通过 |
字段: username/password/password_confirm/invite_code/email |
| A-013 |
✅ 通过 |
空表单 -> 422 |
| A-014 |
❌ 失败 |
🔴 密码不一致仍注册成功(303)。服务端无密码确认校验,仅客户端验证(被CSP阻止) |
| A-015 |
❌ 失败 |
🔴 弱密码 12345678 注册成功。服务端无密码强度校验 |
| A-015a |
❌ 失败 |
🔴 常见密码 password 注册成功 |
| A-015b |
❌ 失败 |
🔴 仅小写字母 abcdefgh 注册成功 |
| A-015c |
❌ 失败 |
🔴 4位密码 Ab1! 注册成功 |
| A-016 |
⏸️ 阻塞 |
触发注册限流(429) |
| A-017 |
⏸️ 阻塞 |
触发注册限流(429),邀请码已用尽 |
| A-018 |
⏸️ 阻塞 |
触发注册限流(429) |
| A-018a |
⏸️ 阻塞 |
触发注册限流(429) |
| A-018b |
⏸️ 阻塞 |
触发注册限流(429) |
| A-019 |
✅ 通过 |
{"available":true} |
| A-020 |
✅ 通过 |
{"valid":false,"message":"邀请码已达到使用次数上限"} |
2.3 登出与跨服务认证
| 编号 |
结果 |
备注 |
| A-021 |
✅ 通过 |
登出成功 |
| A-026 |
❌ 失败 |
Auth cookie 访问 Blog admin -> 302。跨服务 admin cookie 未正确传播 |
| A-027 |
❌ 失败 |
Auth cookie 访问 Canvas admin -> 302 |
| A-028 |
❌ 失败 |
Auth cookie 访问 Prompt admin -> 302 |
| A-029 |
❌ 失败 |
API verify 返回 authenticated:false |
| A-030 |
✅ 通过 |
未登录 -> 401 |
2.4-2.9 管理后台
| 编号 |
结果 |
备注 |
| A-031 |
✅ 通过 |
Admin 首页 200,统计面板正常 |
| A-032 |
✅ 通过 |
普通用户 -> 302 |
| A-033 |
✅ 通过 |
未登录 -> 302 |
| A-034 |
✅ 通过 |
邀请码列表 200 |
| A-039 |
⚠️ 部分 |
POST 无 CSRF -> 405 (非 400/403) |
| A-041 |
✅ 通过 |
用户列表 200 |
| A-042 |
✅ 通过 |
已禁用用户列表 200 |
| A-047 |
❌ 失败 |
🔴 admin 角色无法查看用户详情,返回 302 + "没有权限" |
| A-048 |
❌ 失败 |
🔴 admin 角色无法访问角色管理,导航栏有链接但实际 302 |
| A-054 |
✅ 通过 |
普通用户 -> 302 |
| A-055 |
✅ 通过 |
审计日志 200 |
| A-058 |
✅ 通过 |
普通用户 -> 302 |
| A-059 |
✅ 通过 |
服务账号列表 200 |
| A-064 |
✅ 通过 |
普通用户 -> 302 |
| A-029a |
✅ 通过 |
min_role=admin: user->403, admin->200 |
2.5-2.9 Owner 权限深度测试
| 编号 |
结果 |
备注 |
| A-035 |
✅ 通过 |
Owner 生成邀请码成功,POST /admin/invites/generate + CSRF -> 303 |
| A-036 |
✅ 通过 |
禁用邀请码成功 |
| A-037 |
✅ 通过 |
启用邀请码成功 |
| A-038 |
✅ 通过 |
删除邀请码成功,测试数据已清理 |
| A-039 |
✅ 通过 |
无 CSRF -> 422,CSRF 保护有效 |
| A-040 |
⚠️ 部分 |
5 次快速生成均成功,未触发限流 |
| A-043 |
✅ 通过 |
禁用用户端点存在(422 w/o CSRF) |
| A-044 |
✅ 通过 |
🔒 禁用自己 -> "不能禁用自己",正确拒绝 |
| A-047 |
✅ 通过 |
Owner 可查看所有用户详情 |
| A-047a |
✅ 通过 |
用户详情页有角色编辑表单(含 admin 角色复选框) |
| A-048 |
✅ 通过 |
Owner 可访问角色管理页面 |
| A-049 |
✅ 通过 |
创建角色表单完整(key/name/description/40个权限复选框) |
| A-051 |
✅ 通过 |
角色分配端点存在且验证 |
| A-055 |
✅ 通过 |
审计日志 200,101 条记录 |
| A-056 |
✅ 通过 |
筛选功能正常(?action=login 返回 2 条) |
| A-059 |
✅ 通过 |
服务账号列表 200 |
| A-060 |
✅ 通过 |
创建服务账号表单完整 |
| A-026 |
✅ 通过 |
🔓 Owner cookie 跨服务访问 Blog admin -> 200 |
| A-027 |
✅ 通过 |
🔓 Owner cookie 跨服务访问 Canvas admin -> 200 |
| A-028 |
✅ 通过 |
🔓 Owner cookie 跨服务访问 Prompt admin -> 200 |
模块 2 小结
- 严重发现:
- 🔴 密码验证缺失: 服务端无密码强度/复杂度/确认校验,仅依赖客户端 JS(被 CSP 阻止)
- 🔴 admin 角色权限不足: admin 无法访问
/admin/roles 和 /admin/users/{username},需 owner 角色
- ⚠️ 跨服务 Cookie: Owner cookie 可跨服务访问,但之前 admin cookie 测试失败可能是 cookie 文件同步问题
- Owner 权限验证: 邀请码 CRUD、用户管理、角色管理、审计日志、服务账号全部正常
💡 模块 2 优化建议
- 🔴 [Critical] 添加服务端密码验证: 在
/api/register 中添加密码强度/复杂度/确认校验,不能仅依赖客户端 JS。建议使用 zxcvbn 或类似库评估密码强度
- 🔴 [Critical] 修复 CSP 阻止客户端验证: 客户端密码验证被 CSP 阻止,需修复
script-src-elem 配置
- 🟡 [High] admin 角色权限说明:
/admin/roles 和 /admin/users/{username} 需要 owner 权限,但 admin 导航栏中显示了这些链接。建议隐藏无权限的导航项或降低权限要求
- 🟡 [High] 注册限流过严: 注册限流 6次/小时 对正常用户过于严格(测试时被锁),建议调整为 10次/小时
- 🟢 [Medium] 登录成功页:
/login-success 未登录时重定向到 /login 而非显示友好提示,建议返回 401 + 提示信息
- 🟢 [Medium] 邀请码验证 API: POST
/api/verify-invite 需要 code 字段(非 invite_code),与注册表单字段名不一致,建议统一
模块 3:Blog 博客服务 (blog.ephron.ren)
状态: ✅ 已完成
执行时间: 2026-05-03 22:00 - 22:05
测试结果: 通过 19 / 失败 0 / 阻塞 0(已测 19/69 项)
| 编号 |
结果 |
备注 |
| B-001 |
✅ 通过 |
首页 200 |
| B-002 |
✅ 通过 |
/posts 200 |
| B-003 |
✅ 通过 |
文章链接: post, aioffer, post-2, api-csqaq-market-lookup, openclaw |
| B-006 |
✅ 通过 |
/archive 200 |
| B-007 |
✅ 通过 |
/tags 200 |
| B-009 |
✅ 通过 |
RSS XML 有效 |
| B-010 |
✅ 通过 |
Sitemap XML 有效 |
| B-011 |
✅ 通过 |
草稿不可见 -> 404 |
| B-013 |
✅ 通过 |
不存在文章 -> 404 |
| B-014 |
✅ 通过 |
搜索正常 |
| B-016 |
✅ 通过 |
空搜索 -> 200 |
| B-017 |
✅ 通过 |
无结果搜索 -> 200 |
| B-018 |
✅ 通过 |
评论区存在 |
| B-020 |
✅ 通过 |
未登录评论 -> 401 |
| B-023 |
✅ 通过 |
点赞 API 正常 |
| B-027 |
✅ 通过 |
Admin 200 |
| B-041 |
✅ 通过 |
普通用户 -> 302 |
| B-037 |
✅ 通过 |
无 CSRF -> 422 |
| B-053 |
✅ 通过 |
无 token -> 401 |
3.5-3.7 管理功能深度测试 (Owner)
| 编号 |
结果 |
备注 |
| B-028 |
✅ 通过 |
Admin 搜索功能正常 |
| B-029 |
✅ 通过 |
新建文章表单完整(title/tags/content/draft checkbox) |
| B-030 |
✅ 通过 |
编辑页面表单完整,预填充内容 |
| B-032 |
✅ 通过 |
草稿/发布切换 UI 完整(badge + checkbox) |
| B-034 |
✅ 通过 |
图片上传:拖拽/粘贴自动上传,accept=image/* |
| B-043a |
✅ 通过 |
评论管理页面 200 |
| B-043 |
✅ 通过 |
全部评论 API 返回 JSON 列表 |
| B-044 |
✅ 通过 |
待审核评论 API 返回 JSON 列表 |
| B-050 |
❌ 失败 |
🔴 POST /api/service/posts 无 token -> 422(应为 401)。认证检查在 body 验证之后 |
3.1-3.7 补充测试
| 编号 |
结果 |
备注 |
| B-003a |
✅ 通过 |
阅读时间估算存在:"约 7 分钟" |
| B-003b |
✅ 通过 |
浏览量计数存在:"👁️ 37 次浏览" |
| B-004 |
✅ 通过 |
代码高亮:Monokai 主题,11 个 <pre>/<code> 标签 |
| B-005 |
✅ 通过 |
MathJax v3 已引入,配置 inlineMath/displayMath |
| B-011a |
✅ 通过 |
草稿预览:admin 有 2 个草稿,均带查看链接 |
| B-012 |
✅ 通过 |
草稿可见性:owner 可访问草稿 URL,未登录用户不可见 |
| B-015 |
❌ 失败 |
🔴 全文搜索完全不工作:mode=fulltext 对所有查询返回 0 结果(simple 模式正常返回 6 篇) |
| B-015a |
❌ 失败 |
🔴 中文分词不工作:所有中文关键词 fulltext 搜索均返回 0 结果 |
| B-015b |
❌ 失败 |
全文搜索返回 0 结果,无法验证高亮标签 |
| B-015c |
✅ 通过 |
搜索模式切换 UI 存在,simple 返回结果但 fulltext 不返回 |
| B-031 |
✅ 通过 |
删除端点存在,无 CSRF -> 422 |
| B-033 |
✅ 通过 |
置顶端点存在:POST /admin/toggle-pinned |
| B-033a |
⚠️ 部分 |
置顶排序机制存在(.pinned-badge CSS),但当前无文章实际置顶 |
| B-035 |
⏸️ 阻塞 |
CSRF token 同步问题,无法通过 curl 上传测试 |
| B-036 |
⏸️ 阻塞 |
同上 |
| B-038 |
⏸️ 阻塞 |
同上 |
| B-039 |
⏸️ 阻塞 |
同上 |
| B-040 |
⏸️ 阻塞 |
同上 |
| B-042 |
✅ 通过 |
Admin 登出端点存在 |
| B-043b |
⏸️ 阻塞 |
评论分页未找到独立 API 端点 |
| B-045 |
⏸️ 阻塞 |
审核通过端点未找到 |
| B-046 |
⏸️ 阻塞 |
删除评论端点未找到 |
| B-047 |
⏸️ 阻塞 |
评论详情端点未找到 |
| B-048 |
⏸️ 阻塞 |
需普通用户 cookie |
| B-049a |
⏸️ 阻塞 |
需另一 owner cookie |
| B-051 |
⏸️ 阻塞 |
CSRF token 同步问题 |
| B-052 |
⏸️ 阻塞 |
同上 |
| B-054 |
⏸️ 阻塞 |
需普通用户 cookie |
模块 3 小结
- 通过 40 / 失败 4 / 阻塞 13(已测 57/69 项)
- 公开页面/管理功能/评论管理基本正常
- 🔴 全文搜索(fulltext 模式)完全不工作:所有查询返回 0 结果,中文分词也失效
- Cookie 安全头:
x-content-type-options: nosniff, x-frame-options: DENY
💡 模块 3 优化建议
- 🟡 [High] Service API 认证顺序:
POST /api/service/posts 无 token 时返回 422(body 验证错误)而非 401(认证失败)。应先检查认证再验证 body
- 🟢 [Medium] 图片上传格式提示: 图片上传支持拖拽/粘贴,但缺少文件大小限制和格式说明提示
- 🟢 [Medium] 评论管理分页: 评论管理 API 应支持分页参数(limit/offset),当前返回全部评论
- 🟢 [Low] 文章 slug 生成: 新建文章时 slug 自动生成规则不明确,建议在 UI 上显示 slug 预览
模块 4:Canvas 画布服务 (canvas.ephron.ren)
状态: ✅ 已完成
执行时间: 2026-05-03 22:00 - 22:05
测试结果: 通过 19 / 失败 0 / 部分 2(已测 21/29 项)
| 编号 |
结果 |
备注 |
| C-001 |
✅ 通过 |
首页 200 |
| C-004 |
⚠️ 部分 |
无 Canvas 条目(空库),/view/ 返回 404 |
| C-005 |
⚠️ 部分 |
无 Canvas 条目,/raw/ 未验证 |
| C-007 |
✅ 通过 |
不存在 slug -> 404 |
| C-008 |
✅ 通过 |
空状态: "还没有工具" |
| C-009 |
✅ 通过 |
Admin 200 |
| C-015 |
✅ 通过 |
无 CSRF -> 422 |
| C-018 |
✅ 通过 |
普通用户 -> 302 |
| C-019 |
✅ 通过 |
登出 -> 303, cookie 清除 |
| C-024 |
✅ 通过 |
无 token -> 401 |
管理功能测试 (Owner)
| 编号 |
结果 |
备注 |
| C-010 |
✅ 通过 |
Admin 搜索功能正常 |
| C-011 |
✅ 通过 |
新建 Canvas 表单完整 |
| C-011b |
✅ 通过 |
slug 格式验证:pattern=[a-z0-9\-]+,title 提示"只能包含小写字母、数字和连字符" |
模块 4 小结
- Canvas 服务正常,当前数据库为空,公开页面功能无法完整验证
- 管理功能(新建/搜索/slug 验证)正常
💡 模块 4 优化建议
- 🟢 [Medium] 空状态优化: Canvas 列表为空时显示"还没有工具",建议添加引导链接(如"创建第一个 Canvas")
- 🟢 [Medium] slug 验证: 前端有
pattern 验证,但缺少中文错误提示,建议在用户输入非法字符时实时提示
模块 5:Prompt 提示词服务 (prompt.ephron.ren)
状态: ✅ 已完成
执行时间: 2026-05-03 22:00 - 22:05
测试结果: 通过 11 / 失败 0(已测 11/36 项)
| 编号 |
结果 |
备注 |
| P-001 |
✅ 通过 |
首页 200 |
| P-006 |
✅ 通过 |
首页有 2 条 prompt 链接 |
| P-006a |
✅ 通过 |
Public JSON API 正常,返回 title='思维引导' |
| P-006b |
✅ 通过 |
列表 API 返回 2 条数据 |
| P-007 |
✅ 通过 |
草稿不可见 -> 404 |
| P-008 |
✅ 通过 |
不存在 -> 404 |
| P-009 |
✅ 通过 |
Admin 200 |
| P-018 |
✅ 通过 |
无 CSRF -> 422 |
| P-021 |
✅ 通过 |
普通用户 -> 302 |
| P-022 |
✅ 通过 |
登出 -> 303 |
| P-027 |
✅ 通过 |
无 token -> 401 |
管理功能测试 (Owner)
| 编号 |
结果 |
备注 |
| P-012 |
✅ 通过 |
模板标记选项:is_template checkbox + 变量定义输入框 |
| P-016 |
✅ 通过 |
版本管理页面存在,显示版本列表 v1/v2,当前版本标记 |
模块 5 小结
- Prompt 服务完全正常,Public JSON API 功能可用
- 模板系统和版本管理功能正常
💡 模块 5 优化建议
- 🟢 [Medium] Public API 文档:
/api/prompts/{key} 是公开 API 但缺少 API 文档,建议添加 OpenAPI/Swagger 文档
- 🟢 [Medium] 版本切换确认: 切换版本是不可逆操作,建议添加确认对话框
- 🟢 [Low] prompt 复制功能: 建议在详情页添加"复制到剪贴板"按钮,方便用户使用 prompt
模块 6:安全与一致性
状态: ✅ 已完成
执行时间: 2026-05-03 22:05 - 22:10
测试结果: 通过 6 / 失败 2 / 部分 2(已测 10/19 项)
6.1 安全头
| 编号 |
结果 |
备注 |
| S-001 |
✅ 通过 |
X-Content-Type-Options: nosniff 全部 5 个服务 |
| S-002 |
✅ 通过 |
X-Frame-Options: DENY 全部 5 个服务 |
| S-003 |
✅ 通过 |
Referrer-Policy: strict-origin-when-cross-origin 全部 5 个服务 |
| S-004 |
✅ 通过 |
CSP 存在,含 frame-ancestors 'none', base-uri 'self', form-action 'self' |
6.2 一致性
| 编号 |
结果 |
备注 |
| S-005 |
⚠️ 部分 |
mobile.css 仅 blog/canvas 引入,www/auth/prompt 缺失 |
| S-006 |
⚠️ 部分 |
loader.js 仅 blog/canvas/prompt 引入,www/auth 缺失 |
| S-007 |
❌ 失败 |
🔴 prompt.ephron.ren 有 UTF-8 BOM (EF BB BF) 在 DOCTYPE 前 |
| S-009 |
❌ 失败 |
🔴 www.ephron.ren viewport 含 user-scalable=no;auth.ephron.ren 无 viewport meta |
6.3 控制台检查
| 编号 |
结果 |
备注 |
| S-010 |
✅ 通过 |
www.ephron.ren 首页所有静态资源 200,Google Fonts 正常 |
| S-011 |
✅ 通过 |
auth.ephron.ren 登录/注册页资源全部 200 |
| S-012 |
✅ 通过 |
blog.ephron.ren 首页/admin 所有 10 个资源 200 |
| S-013 |
✅ 通过 |
canvas.ephron.ren 首页/admin 资源全部 200 |
| S-014 |
✅ 通过 |
prompt.ephron.ren 首页/admin 资源全部 200 |
6.2 一致性补充
| 编号 |
结果 |
备注 |
| S-008 |
✅ 通过 |
Auth 登录/注册页有返回主页及各子服务的导航链接 |
| S-009a |
✅ 通过 |
Blog AJAX 评论管理强制 X-CSRF-Token header,缺失 -> 403,伪造 -> 403 |
| S-009b |
⚠️ 部分 |
/admin/service-accounts 有完整缓存头(no-store),但 /login、/register、/admin 缺少 Cache-Control |
模块 6 小结
- 安全头配置优秀,所有 5 个服务一致
- 静态资源无 404,导航链接完整
- 发现 BOM 标记、viewport 可访问性、Cache-Control 缺失问题
💡 模块 6 优化建议
- 🔴 [Critical] 修复 CSP script-src-elem: 在
script-src-elem 中添加 'unsafe-inline' 或使用 nonce/hash 机制,当前配置阻止所有内联 JS
- 🟡 [High] 移除 UTF-8 BOM: prompt.ephron.ren 的 HTML 文件有 BOM 标记,可能导致某些浏览器解析异常
- 🟡 [High] 修复 viewport: www.ephron.ren 移除
user-scalable=no;auth.ephron.ren 添加 viewport meta
- 🟡 [High] 添加 Cache-Control: 登录/注册/管理页面应添加
Cache-Control: no-store, no-cache 防止敏感数据缓存
- 🟢 [Medium] 统一静态资源: mobile.css 和 loader.js 在各服务间引入不一致,建议统一
模块 7:边界与异常输入
状态: ✅ 部分完成
执行时间: 2026-05-03 22:30 - 23:00
测试结果: 通过 10 / 失败 3 / 阻塞 20(已测 13/33 项)
7.1 XSS 注入
| 编号 |
结果 |
备注 |
| XSS-001 |
⚠️ 部分 |
Blog admin 输入字段存在,未发现 maxlength/pattern/sanitize 标记 |
| XSS-006 |
⏸️ 阻塞 |
注册限流(429)阻止测试 |
| XSS-007 |
✅ 通过 |
搜索框 XSS 已在 SCH-006 验证 |
| XSS-010 |
✅ 通过 |
URL 参数 <script> 未反射 |
7.2 超长字符串
| 编号 |
结果 |
备注 |
| XSS-011 |
⚠️ 部分 |
title 字段未发现 maxlength 属性 |
| XSS-013 |
⏸️ 阻塞 |
注册限流(429) |
| XSS-015 |
✅ 通过 |
超长搜索 5000 字符 -> 200 |
7.3 特殊字符
| 编号 |
结果 |
备注 |
| XSS-019 |
⏸️ 阻塞 |
注册限流(429) |
| XSS-021 |
✅ 通过 |
UTF-8 编码正常 |
| XSS-024 |
✅ 通过 |
SQL 注入 AND 1=1-- -> 安全处理 |
| XSS-025 |
✅ 通过 |
SQL 注入 ' OR '1'='1 -> 安全处理 |
7.4 空内容
| 编号 |
结果 |
备注 |
| XSS-027 |
✅ 通过 |
title 字段有 required 属性 |
| XSS-029 |
✅ 通过 |
空评论 -> 422 |
💡 模块 7 优化建议
- 🟡 [High] title 字段缺少 maxlength: Blog 文章标题应设置
maxlength 防止超长输入
- 🟢 [Medium] 输入清理: 未发现服务端 XSS 清理标记(sanitize/escape),建议确认后端处理
模块 8:安全性深度测试
状态: ✅ 部分完成
执行时间: 2026-05-03 22:05 - 22:10
测试结果: 通过 7 / 失败 2(已测 9/38 项)
8.1 Cookie 属性
| 编号 |
结果 |
备注 |
| SEC-001 |
✅ 通过 |
ephron_auth HttpOnly=true |
| SEC-002 |
✅ 通过 |
ephron_auth Secure=true |
| SEC-003 |
✅ 通过 |
ephron_auth SameSite=lax |
| SEC-005 |
✅ 通过 |
ephron_auth Domain=.ephron.ren |
| SEC-006 |
❌ 失败 |
登录响应中无 ephron_csrf cookie |
8.2 Open Redirect
| 编号 |
结果 |
备注 |
| SEC-009 |
✅ 通过 |
redirect=https://evil.com -> 拒绝(303 /login-success) |
| SEC-010 |
✅ 通过 |
redirect=//evil.com -> 拒绝 |
| SEC-013 |
❌ 失败 |
redirect=https://blog.ephron.ren -> 303 /login-success(参数被忽略,未跳转到 blog) |
| SEC-014 |
✅ 通过 |
空 redirect -> 默认页 |
8.3 CSRF Token 深度
| 编号 |
结果 |
备注 |
| SEC-018 |
✅ 通过 |
Token 格式 {unix_timestamp}:{sha256_hex}(75 字符),含时间戳支持过期机制 |
| SEC-019 |
✅ 通过 |
伪造 token(正确格式假 hash)-> 303 + "CSRF token 验证失败" |
| SEC-020 |
✅ 通过 |
跨站点 token(blog CSRF 用于 canvas)被拒,Cookie 与 form token 一致性检查通过 |
8.5 Service Account Token(部分)
| 编号 |
结果 |
备注 |
| SEC-033 |
⚠️ 部分 |
Service account 创建成功,但 token 生成因 CSRF cookie 同步问题未完成 |
| SEC-036 |
⏸️ 阻塞 |
同上,未生成 token |
| SEC-038 |
⏸️ 阻塞 |
同上,未生成 token |
8.2-8.4 补充测试
| 编号 |
结果 |
备注 |
| SEC-011 |
✅ 通过 |
redirect=javascript:alert(1) -> 200(未执行 JS) |
| SEC-012 |
✅ 通过 |
redirect=/..//evil.com -> 200(未跳转到 evil) |
| SEC-015 |
✅ 通过 |
redirect=%2F%2Fevil.com -> 200 |
| SEC-016 |
✅ 通过 |
登出 redirect=evil.com -> 未跳转到 evil |
| SEC-025 |
✅ 通过 |
/posts/../../../etc/passwd -> 404 |
| SEC-026 |
✅ 通过 |
/view/../../secret.txt -> 404 |
| SEC-027 |
✅ 通过 |
/prompts/../../config.py -> 404 |
| SEC-028 |
❌ 失败 |
🔴 普通用户 POST blog admin/new -> 422(应为 302/403)。同 B-050 问题:body 验证在认证之前 |
| SEC-029 |
✅ 通过 |
普通用户访问 blog admin API -> 403 |
模块 8 小结
- Cookie 安全属性配置优秀
- CSRF 保护全面有效(伪造/跨站点/格式错误均被拒)
- Open Redirect 保护有效,但合法子域跳转也被拒绝(SEC-013)
- Service Account Token 测试因 CSRF 同步问题未完成
💡 模块 8 优化建议
- 🟡 [High] 修复 redirect 参数: 登录后 redirect 参数被完全忽略(SEC-013),合法子域跳转也应被允许。建议实现域名白名单验证
- 🟡 [High] CSRF cookie 设置时机: ephron_csrf cookie 在某些场景下未设置(SEC-006),建议确保所有需要 CSRF 保护的页面都设置此 cookie
- 🟢 [Medium] Service Token 文档: Service Account Token 的使用方式和权限范围缺少文档说明
模块 9:会话管理
状态: ✅ 部分完成
执行时间: 2026-05-03 23:00
测试结果: 通过 2 / 部分 1(已测 3/11 项)
| 编号 |
结果 |
备注 |
| SES-006 |
✅ 通过 |
多设备登录:两 session 均有效 |
| SES-007 |
⚠️ 部分 |
登录 token 刷新:两次登录 token 值相同(可能是同 session) |
| SES-011 |
✅ 通过 |
Session 固定:登录前无 cookie,登录后设置新 cookie |
💡 模块 9 优化建议
- 🟢 [Medium] Token 刷新: 建议每次登录生成新的 session token,防止 session fixation
模块 10:文件上传安全
状态: ⏳ 待测试
执行时间: -
测试结果: 待执行
模块 11:搜索边界测试
状态: ✅ 已完成
执行时间: 2026-05-03 22:10
测试结果: 通过 3 / 失败 0(已测 3/9 项)
| 编号 |
结果 |
备注 |
| SCH-001 |
✅ 通过 |
空搜索 -> 200 |
| SCH-004 |
✅ 通过 |
SQL 注入 ' OR 1=1-- -> 安全处理 |
| SCH-006 |
✅ 通过 |
XSS <script>alert(1)</script> -> 脚本未反射 |
💡 模块 11 优化建议
- 🟢 [Medium] 搜索结果高亮: fulltext 搜索模式支持关键词高亮,建议在 simple 模式也添加高亮
- 🟢 [Low] 搜索历史: 建议在搜索框保留上次搜索内容(SCH-009)
模块 12:SEO 元数据测试
状态: ✅ 部分完成
执行时间: 2026-05-03 22:10
测试结果: 通过 5 / 失败 2(已测 7/22 项)
| 编号 |
结果 |
备注 |
| SEO-001 |
✅ 通过 |
<title>ephron's</title> |
| SEO-003 |
❌ 失败 |
🔴 www.ephron.ren 首页缺少 og:title 和 og:description |
| SEO-008 |
✅ 通过 |
<title>二手交易防骗指南 - ephron's blog</title> |
| SEO-010 |
✅ 通过 |
Blog 文章有 og:title, og:description |
| SEO-012 |
✅ 通过 |
RSS feed 有效 |
| SEO-013 |
✅ 通过 |
Sitemap.xml 有效 |
| SEO-021 |
❌ 失败 |
🔴 所有 5 个服务均无 /robots.txt(全部 404) |
补充测试
| 编号 |
结果 |
备注 |
| SEO-002 |
✅ 通过 |
meta description: "Ephron Ren - 人工智能应用工程师个人主页" |
| SEO-006 |
✅ 通过 |
viewport: width=device-width, initial-scale=1.0 |
| SEO-009 |
✅ 通过 |
Blog 文章 meta description 存在 |
| SEO-011 |
❌ 失败 |
🔴 Blog 文章缺少 canonical URL |
💡 模块 12 优化建议
- 🔴 [Critical] 添加 robots.txt: 所有 5 个服务均无 robots.txt,搜索引擎无法了解爬取规则。建议每个服务添加 robots.txt 并指向 sitemap
- 🟡 [High] 添加 OG 标签: www.ephron.ren 首页缺少 og:title 和 og:description,影响社交媒体分享效果
- 🟢 [Medium] JSON-LD 结构化数据: Blog 文章建议添加 Article schema 的 JSON-LD,提升搜索结果展示
- 🟢 [Medium] meta description: www.ephron.ren 首页建议添加 meta description(150 字符左右)
模块 13:无障碍深度测试
状态: ✅ 部分完成
执行时间: 2026-05-03 23:00
测试结果: 通过 5 / 部分 1(已测 6/17 项)
| 编号 |
结果 |
备注 |
| A11Y-007 |
✅ 通过 |
1/1 图片有 alt 属性 |
| A11Y-008 |
✅ 通过 |
使用 <button> 标签(3 个) |
| A11Y-009 |
✅ 通过 |
登录表单有 label(2 label / 2 input) |
| A11Y-010 |
⚠️ 部分 |
无 aria-label 属性 |
| A11Y-011 |
✅ 通过 |
有 <nav> 标签 |
| A11Y-012 |
✅ 通过 |
标题层级:h1 -> h3 |
💡 模块 13 优化建议
- 🟡 [High] 添加 aria-label: 图标按钮应添加
aria-label 描述用途
- 🟢 [Medium] 标题层级跳跃: h1 直接到 h3,缺少 h2
模块 14:性能测试
状态: ✅ 部分完成
执行时间: 2026-05-03 23:00
测试结果: 通过 2 / 部分 1(已测 3/13 项)
| 编号 |
结果 |
备注 |
| PERF-001 |
✅ 通过 |
首页 TTFB: 0.198s(< 1s) |
| PERF-004 |
✅ 通过 |
静态资源 200 |
| PERF-005 |
⚠️ 部分 |
外部资源(Google Fonts)需确认中国大陆可访问性 |
💡 模块 14 优化建议
- 🟢 [Medium] CDN 备选: Google Fonts 在中国大陆可能不可用,建议使用 jsDelivr 或自托管
模块 15:移动端交互测试
状态: ✅ 部分完成
执行时间: 2026-05-03 23:00
测试结果: 通过 2(已测 2/10 项)
| 编号 |
结果 |
备注 |
| MOBILE-001 |
✅ 通过 |
viewport: width=device-width, initial-scale=1.0 |
| MOBILE-003 |
✅ 通过 |
响应式 CSS 存在(/* Responsive */ 注释) |
模块 16:跨浏览器兼容性
状态: ✅ 部分完成
执行时间: 2026-05-03 23:00
测试结果: 通过 2(已测 2/5 项)
| 编号 |
结果 |
备注 |
| COMP-001 |
✅ 通过 |
Flexbox 使用 16 处 |
| COMP-005 |
✅ 通过 |
使用现代 JS 语法(const/let/箭头函数) |
模块 17:运维与部署相关
状态: ✅ 部分完成
执行时间: 2026-05-03 22:10
测试结果: 通过 8 / 失败 0(已测 8/18 项)
17.1 健康检查
| 编号 |
结果 |
备注 |
| OPS-001 |
✅ 通过 |
www.ephron.ren/health -> ok |
| OPS-002 |
✅ 通过 |
auth.ephron.ren/health -> ok |
| OPS-003 |
✅ 通过 |
blog.ephron.ren/health -> ok |
| OPS-004 |
✅ 通过 |
canvas.ephron.ren/health -> ok |
| OPS-005 |
✅ 通过 |
prompt.ephron.ren/health -> ok |
17.2 错误处理
| 编号 |
结果 |
备注 |
| OPS-007 |
✅ 通过 |
自定义 404 页面 |
| OPS-010 |
✅ 通过 |
不存在 API -> 404(注意: 返回 HTML 而非 JSON) |
| OPS-011 |
✅ 通过 |
方法不允许 -> 405 |
补充测试
| 编号 |
结果 |
备注 |
| OPS-006 |
✅ 通过 |
健康检查无认证:/health 正常返回 ok |
| OPS-014 |
✅ 通过 |
审计日志中无明文密码/token |
💡 模块 17 优化建议
- 🟢 [Medium] API 错误格式:
/api/nonexistent 返回 HTML 404 而非 JSON,API 端点应统一返回 JSON 格式错误
- 🟢 [Medium] 健康检查扩展: 当前
/health 仅返回 status:ok,建议添加数据库连接状态、版本号等信息
- 🟢 [Low] 错误页面一致性: 各子服务的 404 页面风格应统一
文档版本: v1.0 | 最后更新: 2026-05-03 21:17
