CodeBuddy Code v2.70.1 发布

🔒 安全修复

CORS 跨域攻击防护

修复了本地 Gateway 服务（cbc --serve）存在的跨域请求安全漏洞。此前，恶意网页可通过 JavaScript 跨域访问用户本地 localhost 服务，执行 Agent 命令或窃取输出数据。

主要修复内容：

• 替换框架默认的 Access-Control-Allow-Origin: * 为精确白名单机制，仅允许 localhost、127.0.0.1 和 Tunnel URL 的跨域请求
• 新增 Host 头验证中间件，防止 DNS Rebinding 攻击
• 修复 SSE 流式端点的 CORS 通配符漏洞
• 默认绑定地址从 0.0.0.0 改为 127.0.0.1，避免服务暴露到局域网

🔧 改进优化

• 自定义跨域规则：支持通过环境变量 CODEBUDDY_CODE_CORS_ORIGINS（逗号分隔）或 Settings 配置 gateway.corsOrigins 自定义允许的跨域源，满足特殊场景需求