安全与合规
规则不是安全边界
规则可以发起网络请求、解析网页并把媒体信息交给播放器。只安装可信来源的规则,并审查明文 v2 配置。远程订阅被篡改时可能改变请求目标、Header 和 WebView 行为。
敏感信息
规则和 Issue 中禁止提交:
- 账户 Cookie、Authorization、刷新令牌。
- 用户名、邮箱、设备标识或本地绝对路径。
- 私有 API Token、签名密钥或临时媒体凭据。
- 能关联到个人账户的完整抓包。
需要说明 Cookie 协议时,使用字段名和假值;只声明播放器真正需要的 cookie 名称或前缀。
网络行为
- 默认尊重系统代理;
directConnection是有明确协议依据时的例外。 - 避免高并发、无界分页和短间隔重试。
- 真实媒体测试使用最小范围请求。
- 不把 WebView 嗅探当作通用抓取器。
第三方内容
AniBaka 不控制规则目标站点的内容、版权状态、安全性与服务条款。贡献者与使用者应自行确认其行为符合所在地法律法规和相关服务条款。
漏洞报告
涉及凭据泄漏、远程规则供应链、任意代码执行或可被直接滥用的问题,不要先公开完整利用细节。通过仓库维护者提供的私密渠道报告,并给出最小复现、受影响版本和修复建议。
