FreshRSS 1.26.2 版本发布：安全加固与功能优化

FreshRSS 是一个开源的、自托管的 RSS 阅读器，它允许用户订阅和管理各种新闻源和博客。作为一个轻量级但功能强大的解决方案，FreshRSS 提供了丰富的自定义选项和扩展功能，适合个人用户和小型团队使用。

安全增强：多项安全修复

本次 1.26.2 版本主要聚焦于安全性改进，修复了多个已发现的问题：

1. HTML注入防护：新增了对特定HTML标签的限制，防止潜在的跨站脚本攻击(XSS)。同时禁止了可能被滥用的HTML元素。

2. 图标安全机制：改进了favicon哈希生成算法，防止图标污染攻击。现在还会为图标文件添加Content-Security-PolicyHTTP头，进一步增强安全性。

3. HTTP安全策略：在Web抓取功能中禁止了安全相关的HTTP头通过cURL传输，防止潜在的请求伪造。同时新增了Referrer-Policy: same-origin等HTTP头，限制引用来源。

4. 会话管理：将注销操作改为使用HTTP POST方法，减少CSRF攻击风险。

5. 扩展安全：修复了扩展系统中可能存在的路径遍历问题，确保用户文件的安全访问。

核心功能改进

1. JSON处理增强：

   • 新增了JSON字符串连接操作符(&)，使JSON数据处理更加灵活
   • 在HTML+XPath+JSON模式下支持多个JSON片段(如JSON-LD)，提升了内容解析能力

2. SimplePie库更新：

   • 修复了对带有XML前言和DTD的feed的支持问题
   • 合并了上游SimplePie库的最新修复

3. 命令行工具改进：修正了布尔标志参数的解析逻辑，使CLI工具更加可靠

用户体验优化

1. 界面改进：

   • 新增了"标记为已读"按钮的大小选项
   • 改善了下拉菜单的焦点样式，提升可访问性
   • 更新了前端加密库bcrypt.js到3.0.2版本

2. API修正：修复了标签中包含斜杠时的API处理问题

3. 国际化：对法语、意大利语、波兰语和土耳其语的翻译进行了改进

技术细节与开发者相关

1. 扩展系统：

   • 新增了JavaScript事件来检测上下文加载
   • 改进了异常处理机制
   • 修复了符号链接扩展的文件服务问题

2. 部署相关：Apache配置中增加了对mod_filter模块的检查，确保输出过滤器正常工作

3. 代码质量：进行了多项PHP代码优化和重构，提升了代码质量和可维护性

4. 开发依赖：更新了多个开发依赖包到最新版本

升级注意事项

1. 升级后，系统会自动重建所有favicon图标。用户可能需要刷新浏览器缓存才能看到更新后的图标。

2. 对于扩展开发者，需要注意新的安全限制，特别是文件访问路径方面的变化。

FreshRSS 1.26.2版本通过全面的安全加固和多项功能改进，为用户提供了更加安全可靠的使用体验。无论是个人用户还是系统管理员，都建议尽快升级到这个版本，以获得最佳的安全性和功能性。