npm - cc-viewer - Versions diffs - 1.6.299 → 1.6.301 - Mend

cc-viewer 1.6.299 → 1.6.301

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (28) hide show

package/cli.js +26 -87
package/dist/assets/{App-CCSG-Uk4.js → App-CsXuZvCc.js} +1 -1
package/dist/assets/{MdxEditorPanel-CEwcZJSb.js → MdxEditorPanel-B-y66Flk.js} +1 -1
package/dist/assets/{Mobile-EHy38ALw.js → Mobile-O0bfec7C.js} +1 -1
package/dist/assets/index-DpIkVZv8.js +2 -0
package/dist/assets/seqResourceLoaders-DpUrNd29.js +2 -0
package/dist/index.html +1 -1
package/findcc.js +19 -0
package/package.json +4 -4
package/server/i18n.js +56 -36
package/server/interceptor.js +24 -8
package/server/lib/async-write-queue.js +30 -4
package/server/lib/base-path.js +34 -0
package/server/lib/config-backup.js +54 -0
package/server/lib/im-process-manager.js +14 -0
package/server/lib/interceptor-core.js +40 -0
package/server/lib/log-watcher.js +7 -1
package/server/lib/sdk-manager.js +4 -0
package/server/lib/term-signals.js +80 -0
package/server/lib/updater.js +18 -1
package/server/pty-manager.js +9 -1
package/server/routes/events.js +37 -15
package/server/routes/misc.js +5 -1
package/server/routes/preferences.js +5 -0
package/server/scratch-pty-manager.js +6 -1
package/server/server.js +66 -33
package/dist/assets/index-DWYtIFvu.js +0 -2
package/dist/assets/seqResourceLoaders-DYyvUcvx.js +0 -2

package/dist/index.html CHANGED Viewed

@@ -21,7 +21,7 @@
     // 整体显示大小已弃用 CSS zoom：Electron 改用 webFrame.setZoomFactor（首屏抢占见
     // electron/tab-content-preload.js），纯浏览器交由用户用浏览器自带快捷键缩放，故此处不再设 zoom。
   </script>
-  <script type="module" crossorigin src="/assets/index-DWYtIFvu.js"></script>
+  <script type="module" crossorigin src="/assets/index-DpIkVZv8.js"></script>
   <link rel="modulepreload" crossorigin href="/assets/vendor-antd-Bur5ZxWE.js">
   <link rel="modulepreload" crossorigin href="/assets/vendor-codemirror-Si44UqBp.js">
   <link rel="modulepreload" crossorigin href="/assets/vendor-mdxeditor-Cco3AQJS.js">

package/findcc.js CHANGED Viewed

@@ -26,6 +26,18 @@ export function getClaudeConfigDir() {
     const raw = envDir.trim();
     return raw.startsWith('~/') ? join(homedir(), raw.slice(2)) : resolve(raw);
   }
+  // ████████ 测试隔离铁闸 L1b —— 绝对不可移除(2026-06-06 数据事故防再犯)████████
+  // CCV_LOG_DIR=tmp 只重定向 LOG_DIR,管不到本函数:updater.js 的 CACHE_DIR=
+  // join(getClaudeConfigDir(),'cc-viewer') 在测试里直指真实 ~/.claude/cc-viewer,
+  // branch-lib-updater.test.js 的 rmSync(CACHE_DIR,{recursive}) 曾因此把用户 40GB
+  // 历史日志整树删除(2026-06-06 第 1/4 次事故确证真凶)。settings.json、ensure-hooks、
+  // ~/.claude/* 展开全部派生于此 —— 测试态(node:test 注入 NODE_TEST_CONTEXT)未显式
+  // 设 CLAUDE_CONFIG_DIR 时,一律走进程私有临时目录,绝不解析到真实 ~/.claude。
+  // 单测:test/logdir-test-guard.test.js。
+  if (process.env.NODE_TEST_CONTEXT) {
+    return join(tmpdir(), 'cc-viewer-test', `guard-cfg-${process.pid}-${threadId}`);
+  }
+  // ████████████████████████████████████████████████████████████████████████████
   return join(homedir(), '.claude');
 }
@@ -40,6 +52,13 @@ function resolveLogDir() {
     const expanded = raw.startsWith('~/') ? join(homedir(), raw.slice(2)) : raw;
     return resolve(expanded);
   }
+  // 测试隔离铁闸:node:test 环境(NODE_TEST_CONTEXT 由测试 runner 自动注入,spread env
+  // 的子进程会继承)下若未显式设 CCV_LOG_DIR,绝不解析到真实用户目录——强制进程私有临时
+  // 目录。2026-06-06 事故:无 env 的测试探针把真实 ~/.claude/cc-viewer 当 LOG_DIR,
+  // 清理逻辑将用户数据整树删除。任何测试运行不允许触碰在用的文件体系和本地存储。
+  if (process.env.NODE_TEST_CONTEXT) {
+    return join(tmpdir(), 'cc-viewer-test', `guard-${process.pid}-${threadId}`);
+  }
   return join(getClaudeConfigDir(), 'cc-viewer');
 }

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "cc-viewer",
-  "version": "1.6.299",
+  "version": "1.6.301",
   "description": "Claude Code Logger visualization management tool",
   "license": "MIT",
   "main": "server.js",
@@ -22,9 +22,9 @@
     "pretest": "npm run lint:control-bytes",
     "pretest:coverage": "npm run lint:control-bytes",
     "pretest:coverage:html": "npm run lint:control-bytes",
-    "test": "CCV_LOG_DIR=tmp node --test --test-force-exit",
-    "test:coverage": "CCV_LOG_DIR=tmp node --test --test-force-exit --experimental-test-coverage --test-coverage-include='server/**/*.js' --test-coverage-include='src/utils/**/*.js' --test-coverage-include='*.js'",
-    "test:coverage:html": "CCV_LOG_DIR=tmp c8 --reporter=text-summary --reporter=html node --test",
+    "test": "CCV_LOG_DIR=tmp CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1 node --test --test-force-exit --test-timeout=120000",
+    "test:coverage": "CCV_LOG_DIR=tmp CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1 node --test --test-force-exit --test-timeout=120000 --experimental-test-coverage --test-coverage-include='server/**/*.js' --test-coverage-include='src/utils/**/*.js' --test-coverage-include='*.js'",
+    "test:coverage:html": "CCV_LOG_DIR=tmp CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1 c8 --reporter=text-summary --reporter=html node --test --test-force-exit --test-timeout=120000",
     "prepublishOnly": "npm run build",
     "electron:dev": "electron electron/main.js",
     "electron:build": "npm run build && electron-builder",

package/server/i18n.js CHANGED Viewed

@@ -448,44 +448,44 @@ const i18nData = {
     "uk": "\nCC Viewer запущено:"
   },
   "server.startedLocal": {
-    "zh": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "en": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "zh-TW": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "ko": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "ja": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "de": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "es": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "fr": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "it": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "da": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "pl": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "ru": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "ar": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "no": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "pt-BR": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "th": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "tr": "  ➜ Local:   {protocol}://127.0.0.1:{port}",
-    "uk": "  ➜ Local:   {protocol}://127.0.0.1:{port}"
+    "zh": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "en": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "zh-TW": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "ko": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "ja": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "de": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "es": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "fr": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "it": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "da": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "pl": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "ru": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "ar": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "no": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "pt-BR": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "th": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "tr": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}",
+    "uk": "  ➜ Local:   {protocol}://127.0.0.1:{port}{basePath}"
   },
   "server.startedNetwork": {
-    "zh": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "en": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "zh-TW": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "ko": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "ja": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "de": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "es": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "fr": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "it": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "da": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "pl": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "ru": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "ar": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "no": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "pt-BR": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "th": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "tr": "  ➜ Network: {protocol}://{ip}:{port}?token={token}",
-    "uk": "  ➜ Network: {protocol}://{ip}:{port}?token={token}"
+    "zh": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "en": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "zh-TW": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "ko": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "ja": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "de": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "es": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "fr": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "it": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "da": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "pl": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "ru": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "ar": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "no": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "pt-BR": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "th": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "tr": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}",
+    "uk": "  ➜ Network: {protocol}://{ip}:{port}{basePath}?token={token}"
   },
   "server.passwordActive": {
     "zh": "  🔒 密码保护已开启，密码: {password}",
@@ -527,6 +527,26 @@ const i18nData = {
     "tr": "  ⚠️  Parola boş: uzaktan erişim doğrulama gerektirmez — güvenlik riski",
     "uk": "  ⚠️  Пароль порожній: віддалений доступ не потребує перевірки — загроза безпеці"
   },
+  "basePath.missingLeadingSlash": {
+    "zh": "  ⚠️  CCV_BASE_PATH \"{value}\" 必须以 \"/\" 开头，已忽略。示例：\"/proxy/\"",
+    "en": "  ⚠️  CCV_BASE_PATH \"{value}\" must start with \"/\" — ignored. Use e.g. \"/proxy/\".",
+    "zh-TW": "  ⚠️  CCV_BASE_PATH \"{value}\" 必須以 \"/\" 開頭，已忽略。範例：\"/proxy/\"",
+    "ko": "  ⚠️  CCV_BASE_PATH \"{value}\"는 \"/\"로 시작해야 합니다 — 무시됨. 예: \"/proxy/\"",
+    "ja": "  ⚠️  CCV_BASE_PATH \"{value}\" は \"/\" で始まる必要があります — 無視されました。例: \"/proxy/\"",
+    "de": "  ⚠️  CCV_BASE_PATH \"{value}\" muss mit \"/\" beginnen — ignoriert. Beispiel: \"/proxy/\"",
+    "es": "  ⚠️  CCV_BASE_PATH \"{value}\" debe comenzar con \"/\" — ignorado. Ejemplo: \"/proxy/\"",
+    "fr": "  ⚠️  CCV_BASE_PATH \"{value}\" doit commencer par \"/\" — ignoré. Exemple : \"/proxy/\"",
+    "it": "  ⚠️  CCV_BASE_PATH \"{value}\" deve iniziare con \"/\" — ignorato. Esempio: \"/proxy/\"",
+    "da": "  ⚠️  CCV_BASE_PATH \"{value}\" skal starte med \"/\" — ignoreret. Eksempel: \"/proxy/\"",
+    "pl": "  ⚠️  CCV_BASE_PATH \"{value}\" musi zaczynać się od \"/\" — zignorowano. Przykład: \"/proxy/\"",
+    "ru": "  ⚠️  CCV_BASE_PATH \"{value}\" должен начинаться с \"/\" — проигнорировано. Пример: \"/proxy/\"",
+    "ar": "  ⚠️  يجب أن يبدأ CCV_BASE_PATH \"{value}\" بـ \"/\" — تم التجاهل. مثال: \"/proxy/\"",
+    "no": "  ⚠️  CCV_BASE_PATH \"{value}\" må starte med \"/\" — ignorert. Eksempel: \"/proxy/\"",
+    "pt-BR": "  ⚠️  CCV_BASE_PATH \"{value}\" deve começar com \"/\" — ignorado. Exemplo: \"/proxy/\"",
+    "th": "  ⚠️  CCV_BASE_PATH \"{value}\" ต้องขึ้นต้นด้วย \"/\" — ถูกละเว้น ตัวอย่าง: \"/proxy/\"",
+    "tr": "  ⚠️  CCV_BASE_PATH \"{value}\" \"/\" ile başlamalıdır — yok sayıldı. Örnek: \"/proxy/\"",
+    "uk": "  ⚠️  CCV_BASE_PATH \"{value}\" має починатися з \"/\" — проігноровано. Приклад: \"/proxy/\""
+  },
   "server.auth.loginTitle": {
     "zh": "请输入访问密码",
     "en": "Enter access password",

package/server/interceptor.js CHANGED Viewed

@@ -16,7 +16,7 @@ import { homedir } from 'node:os';
 import { fileURLToPath, pathToFileURL } from 'node:url';
 import { dirname, join, basename } from 'node:path';
 import { LOG_DIR } from '../findcc.js';
-import { assembleStreamMessage, createStreamAssembler, cleanupTempFiles, findRecentLog, isAnthropicApiPath, isMainAgentRequest, rotateLogFile, fingerprintMsg } from './lib/interceptor-core.js';
+import { assembleStreamMessage, createStreamAssembler, cleanupTempFiles, findRecentLog, isAnthropicApiPath, isMainAgentRequest, rotateLogFile, fingerprintMsg, replaceTopLevelModel } from './lib/interceptor-core.js';
@@ -780,15 +780,31 @@ export function setupInterceptor() {
             }
           }
         }
-        // 3. Model 替换
+        // 3. Model 替换 —— 避免对整条 wire body（-c 重启后全量 checkpoint 可达数十 MB）
+        //    二次 JSON.parse + 全量 re-stringify：用 L557 已解析的 body 读旧值，对原始
+        //    字符串做有界定向替换（唯一非歧义匹配才生效）；定位失败回退旧 parse 路径，
+        //    最坏退化为现状。注意不能复用 requestEntry.body 重建 wire —— delta 路径
+        //    （上方 needsCheckpoint=false 分支）已把它的 messages 改成增量切片。
         if (_activeProfile.activeModel && _fetchOpts?.body) {
-          try {
-            const _b = JSON.parse(_fetchOpts.body);
-            if (_b.model) {
-              _b.model = _activeProfile.activeModel;
-              _fetchOpts = { ..._fetchOpts, body: JSON.stringify(_b) };
+          const _oldModel = (body && typeof body === 'object') ? body.model : undefined;
+          if (_oldModel === _activeProfile.activeModel) {
+            // 已是目标 model，跳过（旧路径会原样 re-stringify，对上游等价）
+          } else {
+            const _replaced = (typeof _fetchOpts.body === 'string' && typeof _oldModel === 'string')
+              ? replaceTopLevelModel(_fetchOpts.body, _oldModel, _activeProfile.activeModel)
+              : null;
+            if (_replaced !== null) {
+              _fetchOpts = { ..._fetchOpts, body: _replaced };
+            } else {
+              try {
+                const _b = JSON.parse(_fetchOpts.body);
+                if (_b.model) {
+                  _b.model = _activeProfile.activeModel;
+                  _fetchOpts = { ..._fetchOpts, body: JSON.stringify(_b) };
+                }
+              } catch { }
             }
-          } catch { }
+          }
         }
         // 记录 proxy 信息到日志条目
         requestEntry.proxyProfile = _activeProfile.name;

package/server/lib/async-write-queue.js CHANGED Viewed

@@ -4,13 +4,15 @@
 import { appendFile } from 'node:fs/promises';
 import { appendFileSync } from 'node:fs';
-const HIGH_WATER_MARK = 50 * 1024 * 1024; // 50MB — 超过此值降级为同步写入
+const HIGH_WATER_MARK = 50 * 1024 * 1024; // 50MB — backlog 超过此值降级为同步写入
+const WRITE_CHUNK_BYTES = 8 * 1024 * 1024; // 8MB — 单次 async append 上限，巨条分块让出 FS handle
 export class AsyncWriteQueue {
   /**
    * @param {string|(() => string)} pathOrGetter - 文件路径或返回路径的函数（支持动态路径）
    * @param {object} [opts]
    * @param {boolean} [opts.syncMode] - 强制同步模式
+   * @param {number} [opts.highWaterMark] - backlog 同步降级阈值（默认 50MB；测试用）
    */
   constructor(pathOrGetter, opts = {}) {
     this._pathOrGetter = pathOrGetter;
@@ -21,6 +23,9 @@ export class AsyncWriteQueue {
     this._closed = false;
     this._flushResolvers = []; // resolve() callbacks waiting for flush()
     this._syncMode = opts.syncMode || !!process.env.CCV_SYNC_WRITES;
+    // typeof 防御：字符串 "1000" 能通过 > 0 协转检查，但后续字节比较会退化为字典序
+    this._highWaterMark = (typeof opts.highWaterMark === 'number' && opts.highWaterMark > 0)
+      ? opts.highWaterMark : HIGH_WATER_MARK;
   }
   _getPath() {
@@ -38,13 +43,21 @@ export class AsyncWriteQueue {
       return;
     }
-    if (this._syncMode || this._pendingBytes >= HIGH_WATER_MARK) {
+    // 同步降级是 backlog 的内存压力保护，不是按条规则：
+    // - 单条超大 buffer（-c 重启后的全量 checkpoint，可达数十 MB）必须走异步 ——
+    //   对它 appendFileSync 正是 Windows event loop 卡死点；其内存代价 ≈ 字符串本就在内存。
+    // - drain 在途时绝不抢同步（正确性硬约束）：_drain 现按 8MB 分块写，appendFileSync
+    //   插队会落在分块中间、把条目撕裂进另一条 JSON 内部。又因"队列非空 ⇒ 必已 scheduleDrain
+    //   ⇒ _draining=true"，这条 backlog 同步分支实际只是防御性兜底，正常运行不会触发。
+    const byteLen = Buffer.byteLength(data);
+    const wouldExceed = this._pendingBytes + byteLen >= this._highWaterMark;
+    const oversizedSingle = byteLen >= this._highWaterMark;
+    if (this._syncMode || (wouldExceed && !oversizedSingle && !this._draining)) {
       try { appendFileSync(path, data); } catch {}
       if (onDone) try { onDone(); } catch {}
       return;
     }
-    const byteLen = Buffer.byteLength(data);
     this._queue.push({ path, data, onDone });
     this._pendingBytes += byteLen;
     this._scheduleDrain();
@@ -108,7 +121,20 @@ export class AsyncWriteQueue {
         }
         try {
-          await appendFile(path, combined);
+          // 巨条分块：单次 async append 超过 8MB 时按字节切片顺序写，
+          // 避免一次巨型写独占 FS handle（Windows NTFS 上拖垮其它 I/O）。
+          // 必须按 Buffer 字节切（而非字符串 slice），否则多字节 UTF-8 字符
+          // 跨界会被 per-call 编码撕裂成乱码。顺序 await 保证落盘顺序。
+          // Buffer.from 对超大 combined 有一次性内存翻倍（30MB 串 → +30MB Buffer），
+          // 循环结束即释放，等价于字符串自身的量级，可接受。
+          const buf = Buffer.from(combined, 'utf-8');
+          if (buf.length <= WRITE_CHUNK_BYTES) {
+            await appendFile(path, buf);
+          } else {
+            for (let pos = 0; pos < buf.length; pos += WRITE_CHUNK_BYTES) {
+              await appendFile(path, buf.subarray(pos, pos + WRITE_CHUNK_BYTES));
+            }
+          }
         } catch {}
         for (const cb of callbacks) {
           try { cb(); } catch {}

package/server/lib/base-path.js ADDED Viewed

@@ -0,0 +1,34 @@
+// CCV_BASE_PATH（反向代理子路径部署）的统一 normalize / validate / strip。
+// 纯函数，无副作用，server.js（HTTP 剥离 / <base> 注入 / WS upgrade）与 cli.js（启动 URL
+// 打印）共用，消除各处复制粘贴的 normalize 逻辑。vite.config.js 不复用（构建期 base 有
+// `undefined→'/'` 的三态语义，与运行时"未设=无前缀"不同，见该文件注释）。
+// 规范化 basePath：未设 / 空串 / 根 '/' → ''（无前缀）；其余补尾斜杠（'/proxy' → '/proxy/'）。
+// 尾斜杠是 startsWith 匹配的防歧义关键（'/proxy/' 不会误命中 '/proxyextra/x'）。
+// 缺前导 '/' 的非法值（'proxy/x'）也返回 ''（忽略）——否则注入段会产出相对 <base> 破坏页面；
+// 告警由 validateBasePath 在启动期负责。
+export function normalizeBasePath(raw) {
+  if (!raw || raw === '/' || !raw.startsWith('/')) return '';
+  // 剥裸换行符：含 \n/\r 的值会把 index.html 注入的 JS 字符串断成语法错误（页面级 DoS）
+  return raw.replace(/[\r\n]/g, '').replace(/\/?$/, '/');
+}
+// 校验 + 规范化。非空但缺前导 '/'（如 'proxy/x'）属配置错误：startsWith 永不命中、剥离
+// 静默失效。不自动补 '/' —— 自动修正会掩盖与代理侧前缀的错配，更难排查；这里选择
+// 忽略（按无前缀工作）并返回 i18n key 供启动期 console.warn。
+export function validateBasePath(raw) {
+  if (raw && raw !== '/' && !raw.startsWith('/')) {
+    return { ok: false, normalized: '', warning: 'basePath.missingLeadingSlash' };
+  }
+  return { ok: true, normalized: normalizeBasePath(raw), warning: null };
+}
+// 从请求 pathname 剥掉 basePath 前缀，保证结果带前导 '/'（路由表按 '/api/...' 匹配）。
+// slice(length - 1) 让 normalizedBase 的尾斜杠留作结果的前导斜杠：
+//   stripBasePath('/proxy/api/x', '/proxy/') → '/api/x'
+//   stripBasePath('/proxy/',      '/proxy/') → '/'
+// 不匹配（含裸前缀 '/proxy' 无尾斜杠的访问）原样返回，由调用方按 SPA/404 处理。
+export function stripBasePath(pathname, normalizedBase) {
+  if (!normalizedBase || !pathname.startsWith(normalizedBase)) return pathname;
+  return pathname.slice(normalizedBase.length - 1) || '/';
+}

package/server/lib/config-backup.js ADDED Viewed

@@ -0,0 +1,54 @@
+// 启动期配置备份 — 2026-06-06 LOG_DIR 整树删除事故防再犯。
+// preferences.json(auth/IM token/偏好)、profile.json(代理热切换)、workspaces.json(工作区注册表)
+// 是无法从日志/会话重建的"静态设置";本模块在 server 启动时把它们备份到 LOG_DIR **之外**
+// 的兄弟目录(默认 ~/.claude/cc-viewer-config-backups/<时间戳>/),滚动保留最近 KEEP 份。
+// 全程 best-effort:任何失败只返回 {ok:false},绝不抛错阻塞启动。
+import { existsSync, mkdirSync, copyFileSync, readdirSync, rmSync, chmodSync } from 'node:fs';
+import { join, dirname } from 'node:path';
+import { LOG_DIR } from '../../findcc.js';
+const CONFIG_FILES = ['preferences.json', 'profile.json', 'workspaces.json'];
+const KEEP = 10;
+// 备份子目录名:严格时间戳形态。prune 只删匹配此形态的目录,绝不波及其它内容。
+const STAMP_RE = /^\d{8}_\d{6}$/;
+export function getBackupRoot(logDir = LOG_DIR) {
+  return join(dirname(logDir), 'cc-viewer-config-backups');
+}
+/**
+ * 备份 logDir 下的配置文件到 getBackupRoot()/<YYYYMMDD_HHMMSS>/,并滚动清理。
+ * @param {string} [logDir] 默认 findcc 的 LOG_DIR(live binding)
+ * @param {Date}   [now]    注入时钟,便于测试
+ * @returns {{ok:boolean, dir?:string, copied?:string[], pruned?:number, error?:string}}
+ */
+export function backupConfigs(logDir = LOG_DIR, now = new Date()) {
+  try {
+    const candidates = CONFIG_FILES.filter((f) => existsSync(join(logDir, f)));
+    if (!candidates.length) return { ok: true, copied: [], pruned: 0 };
+    const stamp = now.toISOString().replace(/[-:]/g, '').replace('T', '_').slice(0, 15);
+    const root = getBackupRoot(logDir);
+    const dir = join(root, stamp);
+    mkdirSync(dir, { recursive: true, mode: 0o700 });
+    const copied = [];
+    for (const f of candidates) {
+      try {
+        copyFileSync(join(logDir, f), join(dir, f));
+        // preferences 携带密钥,备份份保持 0600(copyFileSync 跟随 umask,需显式收紧)
+        chmodSync(join(dir, f), 0o600);
+        copied.push(f);
+      } catch { /* 单文件失败不影响其它 */ }
+    }
+    let pruned = 0;
+    try {
+      const entries = readdirSync(root).filter((d) => STAMP_RE.test(d)).sort();
+      while (entries.length > KEEP) {
+        rmSync(join(root, entries.shift()), { recursive: true, force: true });
+        pruned++;
+      }
+    } catch { /* prune 失败不影响本次备份 */ }
+    return { ok: true, dir, copied, pruned };
+  } catch (err) {
+    return { ok: false, error: err?.message || String(err) };
+  }
+}

package/server/lib/im-process-manager.js CHANGED Viewed

@@ -60,6 +60,20 @@ export function buildChildEnv(id, base = process.env) {
  * @returns {{ pid:number|undefined, dir:string, outLog:string }}
  */
 export function spawnImProcess(id, opts = {}) {
+  // ████████ 测试隔离铁闸 L4 —— 绝对不可移除(2026-06-06 数据事故防再犯)████████
+  // 单元测试【绝不允许】拉起真实 detached IM worker:
+  //  1) detached worker 脱离测试生命周期常驻(PPID=1),测试结束后仍在运行;
+  //  2) buildChildEnv 按设计剥离 CCV_*,worker 子链最终把真实 ~/.claude/cc-viewer 当 LOG_DIR;
+  //  3) 测试与用户真实 worker 在锁/端口(7050-7099)/配置上互相干扰——
+  //     2026-06-06 该链条曾三次把用户 40GB 历史日志整树删除。
+  // 注入 spawnImpl 的纯单测(假 spawn)不受影响;确需真实 spawn 的集成测试必须显式
+  // CCV_TEST_ALLOW_IM_SPAWN=1 并自行负责完全隔离(私有 CCV_LOG_DIR + 私有端口窗)。
+  if (process.env.NODE_TEST_CONTEXT && !opts.spawnImpl && process.env.CCV_TEST_ALLOW_IM_SPAWN !== '1') {
+    const dir = imDir(id);
+    console.warn(`[im-process-manager] 测试环境拒绝真实 spawn IM worker '${id}'(L4 铁闸;如确需请设 CCV_TEST_ALLOW_IM_SPAWN=1)`);
+    return { pid: undefined, dir, outLog: join(dir, 'process.out.log'), blockedByTestGuard: true };
+  }
+  // ████████████████████████████████████████████████████████████████████████
   const spawnImpl = opts.spawnImpl || nodeSpawn;
   const dir = imDir(id);
   mkdirSync(dir, { recursive: true });

package/server/lib/interceptor-core.js CHANGED Viewed

@@ -400,3 +400,43 @@ export function rotateLogFile(currentFile, newFile, maxSize) {
   } catch { }
   return { rotated: false };
 }
+/**
+ * 在原始 JSON 字符串上定向替换顶层 "model" 字段的值，避免对巨型 wire body
+ * （`-c` 重启后的全量 checkpoint 请求可达数十 MB）做二次 JSON.parse + 全量 re-stringify。
+ *
+ * 安全性依据：
+ * - JSON 字符串值内的引号必然转义为 \"，裸 `"model":"<old>"` 字节序列只能出现在真实结构处；
+ * - 候选必须满足成员边界（前一个非空白字符是 `{` 或 `,`）；
+ * - 顶层 model 恒存在恒命中 → 嵌套对象若有同值 model 键则候选 ≥2 → 返回 null 由调用方
+ *   回退 parse/stringify 旧路径（最坏退化为现状，绝不误改）。
+ *
+ * @param {string} jsonStr - 原始 wire body（紧凑或带单空格的 JSON 字符串）
+ * @param {string} oldModel - 当前顶层 model 值（来自已解析的 body.model）
+ * @param {string} newModel - 目标 model 值
+ * @returns {string|null} 替换后的字符串；无法唯一定位时返回 null（调用方回退）
+ */
+export function replaceTopLevelModel(jsonStr, oldModel, newModel) {
+  if (typeof jsonStr !== 'string' || typeof oldModel !== 'string' || !oldModel ||
+      typeof newModel !== 'string' || !newModel) return null;
+  const oldVal = JSON.stringify(oldModel);
+  // 覆盖紧凑（JSON.stringify 默认）与冒号后单空格两种序列化形态；其它形态 → 0 候选 → 回退
+  const needles = [`"model":${oldVal}`, `"model": ${oldVal}`];
+  const candidates = [];
+  for (const needle of needles) {
+    let idx = jsonStr.indexOf(needle);
+    while (idx !== -1) {
+      // 成员边界校验：前一个非空白字符必须是 { 或 ,
+      let p = idx - 1;
+      while (p >= 0 && (jsonStr[p] === ' ' || jsonStr[p] === '\t' || jsonStr[p] === '\n' || jsonStr[p] === '\r')) p--;
+      if (p >= 0 && (jsonStr[p] === '{' || jsonStr[p] === ',')) {
+        candidates.push({ idx, needle });
+      }
+      idx = jsonStr.indexOf(needle, idx + 1);
+    }
+  }
+  if (candidates.length !== 1) return null;
+  const { idx, needle } = candidates[0];
+  const replaced = needle.slice(0, needle.length - oldVal.length) + JSON.stringify(newModel);
+  return jsonStr.slice(0, idx) + replaced + jsonStr.slice(idx + needle.length);
+}

package/server/lib/log-watcher.js CHANGED Viewed

@@ -249,10 +249,16 @@ function _scheduleDebouncedRead(fileState) {
   }, FSWATCH_DEBOUNCE_MS);
 }
+// 测试注入缝(仿 updater fetchImpl 惯例):替换轮询分支的 watchFile 实现。
+// 真实 watchFile 的 stat 基线与 500ms 间隔在 CI 慢机上不可确定性驱动(基线竞态曾致
+// 25s 全程静默 flake),单测注入假实现手动触发回调即可零时序覆盖。生产恒为 node:fs 原版。
+let _watchFileImpl = watchFile;
+export function __setWatchFileImplForTests(fn) { _watchFileImpl = fn || watchFile; }
 function _fallbackToPolling(fileState) {
   if (fileState.polling) return;
   fileState.polling = true;
-  watchFile(fileState.logFile, { interval: 500 }, () => {
+  _watchFileImpl(fileState.logFile, { interval: 500 }, () => {
     _readDelta(fileState);
   });
 }

package/server/lib/sdk-manager.js CHANGED Viewed

@@ -19,6 +19,10 @@ try {
   console.warn('[SDK] Agent SDK not available:', err.message);
 }
+// Test seam — inject a fake query() (仿 im-bridge-core.js 的 __setFetchForTests 惯例).
+// 仅供单测注入 fake async-generator，不改任何业务逻辑。
+export function __setQueryForTests(fn) { _query = fn; }
 // Interactive tool names — filtered from entries, handled via canUseTool → WS
 const INTERACTIVE_TOOLS = new Set(['AskUserQuestion', 'ExitPlanMode']);

package/server/lib/term-signals.js ADDED Viewed

@@ -0,0 +1,80 @@
+// Windows Ctrl+C 退出链三层防御（macOS/Linux 行为不变）。
+// 背景：cli.js / server.js 的 SIGINT handler 都是 `doCleanup → .finally(process.exit)` 形态，
+// 注册 handler 后 Node 不再默认退出 —— 链上任何一环挂住（node-pty ConPTY kill 同步挂起、
+// IM bridge teardown await 无超时、SIGINT 事件被 ConPTY 吞掉）进程就永不退出，
+// 即 Windows 用户报告的 "Ctrl+C 完全无反应"。
+// 三函数全部依赖注入（仿 log-watcher __setWatchFileImplForTests 惯例），纯逻辑可单测。
+import { spawnSync as _spawnSync } from 'node:child_process';
+import { emitKeypressEvents as _emitKeypressEvents } from 'node:readline';
+// 把 `doCleanup → exit` 包装成幂等 + 双保险的 cleanup：
+//   首次触发：先武装 watchdog（watchdogMs 后强制 exit(130)，unref 不滞留事件循环），
+//             再 try/catch 跑 doCleanup（同步抛错不阻断退出），完成后 exit()。
+//   二次触发（用户连按 Ctrl+C）：立即 exit(130)，不再等优雅收尾。
+// watchdogMs 默认 5s：_doStop 内 IM teardown + serverStopping hook 共用一个 3s 总预算
+// （见 server.js _doStop 的合并 race），其后还有 rename temp jsonl（用户数据）要顺序
+// 执行 —— watchdog 必须 > 3s 总预算 + rename 余量，避免中途截断。
+export function createHardenedCleanup({ doCleanup, exit = process.exit, setTimeoutImpl = setTimeout, watchdogMs = 5000 }) {
+  let invoked = false;
+  return function hardenedCleanup() {
+    if (invoked) { exit(130); return; }
+    invoked = true;
+    const watchdog = setTimeoutImpl(() => exit(130), watchdogMs);
+    if (watchdog && typeof watchdog.unref === 'function') watchdog.unref();
+    try {
+      const r = doCleanup();
+      if (r && typeof r.then === 'function') {
+        r.then(() => exit(), () => exit(130));
+      } else {
+        // 同步 doCleanup：完成即退（统一契约"doCleanup 结束 → exit"；当前所有调用方
+        // 都返回 promise 走上面分支，此分支为前向兼容）
+        exit();
+      }
+    } catch {
+      exit(130);
+    }
+  };
+}
+// Windows 下 ConPTY/控制台事件链偶发吞掉 Ctrl+C（SIGINT 永不送达）的兜底：
+// 把本地终端 stdin 切 raw mode 监听 keypress，\x03(Ctrl+C)/\x04(Ctrl+D) 直连 onInterrupt。
+// 注意：raw mode 下控制台**不再产生 SIGINT**，onInterrupt 必须直接是 hardened cleanup
+// 本体（不能 re-emit SIGINT —— 那条路在 raw mode 下已死）。
+// 仅 win32 且 stdin 是 TTY 时安装（silent/PTY 与 SDK 模式本地终端本就无人读 stdin，
+// 无副作用；proxy 模式 stdio:'inherit' 子进程持有控制台，调用方不得安装）。
+// 进程退出时通过 'exit' 同步钩子恢复 cooked mode，防 Windows 终端残留 raw 态
+// （watchdog 的 exit(130) 同样触发 'exit' 钩子）。
+export function installWinKeypressFallback({ stdin = process.stdin, onInterrupt, platform = process.platform, emitKeypressEvents = _emitKeypressEvents }) {
+  if (platform !== 'win32' || !stdin || !stdin.isTTY) return null;
+  emitKeypressEvents(stdin);
+  try { stdin.setRawMode(true); } catch { return null; }
+  const restore = () => { try { stdin.setRawMode(false); } catch { /* noop */ } };
+  process.on('exit', restore);
+  const onKeypress = (str, key) => {
+    const isCtrlC = (key && key.ctrl && key.name === 'c') || str === '\u0003';
+    const isCtrlD = (key && key.ctrl && key.name === 'd') || str === '\u0004';
+    if (isCtrlC || isCtrlD) onInterrupt();
+  };
+  stdin.on('keypress', onKeypress);
+  stdin.resume();
+  return () => {
+    stdin.off('keypress', onKeypress);
+    restore();
+    process.off('exit', restore);
+  };
+}
+// Windows 下杀掉 PTY 进程树（ConPTY agent + claude）。
+// 用 spawnSync taskkill 而非 ptyProcess.kill()：后者在 ConPTY 下有已知同步挂起问题
+// （microsoft/node-pty#454 等），且 killPty 的 respawn 调用方（spawnClaude 内部
+// kill→立即重启、workspaces stop→launch）需要"返回时进程已死"的同步语义 ——
+// taskkill /F 通常 <200ms，timeout 2s 兜底有界，不会废掉 5s watchdog。
+// 非 win32 返回 false，调用方走原 ptyProcess.kill() 路径。
+export function killPtyTree(pid, { platform = process.platform, spawnSyncImpl = _spawnSync } = {}) {
+  if (platform !== 'win32' || !pid) return false;
+  try {
+    spawnSyncImpl('taskkill', ['/pid', String(pid), '/T', '/F'], { timeout: 2000, windowsHide: true });
+  } catch { /* taskkill 不在 PATH 等极端情况，调用方仍有 watchdog 兜底 */ }
+  return true;
+}

package/server/lib/updater.js CHANGED Viewed

@@ -140,7 +140,7 @@ export function isAnyCcvBusy({ currentPid, busy, portRange, lsofImpl } = {}) {
 //                       却被当显式传值，从而绕过自动检测，让 brew 用户被错误地走 npm 路径升级。
 //
 // 返回 status:
-//   disabled | skipped | latest | major_available | deferred_busy
+//   disabled | skipped | skipped_test_context | latest | major_available | deferred_busy
 //   | brew_managed | upgrading_in_background | error
 export async function checkAndUpdate(options = {}) {
   const fetchImpl = options.fetchImpl || fetch;
@@ -164,6 +164,23 @@ export async function checkAndUpdate(options = {}) {
     return { status: 'skipped', currentVersion, remoteVersion: null };
   }
+  // ████████ 测试隔离铁闸 L5 —— 绝对不可移除(2026-06-06 数据事故防再犯)████████
+  // 单元测试【绝不允许】发送真实网络请求:起真实 server 的测试,启动链的 30s 定时器
+  // (server.js startViewer)会走到这里,真打 registry.npmjs.org,同大版本空闲时甚至
+  // 触发 detached `npm install` 真实自更新——测试能改写用户的 cc-viewer 安装。
+  // 条件说明:
+  //  - NODE_TEST_CONTEXT:node:test runner 自动注入,覆盖测试进程及 spread env 子进程;
+  //  - NODE_ENV==='test' 兜底:覆盖测试用 spawnSync 起的孙进程(NODE_TEST_CONTEXT 跨代
+  //    传递不保证,如 branch-server.test.js 的 runScenario);
+  //  - 注入 fetchImpl 的 updater 单测(假网络)不受影响,走正常逻辑;
+  //  - 闸位必须在 disabled/skipped 早退【之后】、真实 fetch【之前】:放函数入口会劫持
+  //    存量无-fetchImpl 用例对 disabled/skipped 的断言。
+  // 守卫单测:test/updater-test-guard.test.js。
+  if ((process.env.NODE_TEST_CONTEXT || process.env.NODE_ENV === 'test') && !options.fetchImpl) {
+    return { status: 'skipped_test_context', currentVersion, remoteVersion: null };
+  }
+  // ████████████████████████████████████████████████████████████████████████████
   try {
     const res = await fetchImpl('https://registry.npmjs.org/cc-viewer');
     if (!res.ok) throw new Error(`HTTP ${res.status}`);

package/server/pty-manager.js CHANGED Viewed

@@ -5,6 +5,7 @@ import { chmodSync, statSync } from 'node:fs';
 import { platform, arch, homedir } from 'node:os';
 import { createRequire } from 'node:module';
 import { prepareEmbeddedShellSpawn, stripClaudeNoFlickerUnlessOptedIn } from './lib/terminal-env.js';
+import { killPtyTree } from './lib/term-signals.js';
 const __filename = fileURLToPath(import.meta.url);
 const __dirname = dirname(__filename);
@@ -474,7 +475,14 @@ export function killPty() {
     flushBatch();
     batchBuffer = '';
     batchScheduled = false;
-    try { ptyProcess.kill(); } catch { }
+    // Windows：node-pty 的 ConPTY kill 有已知同步挂起问题（microsoft/node-pty#454），
+    // 挂住会连 Ctrl+C 退出链的 watchdog 一起废掉。改用 spawnSync taskkill /T /F 收割
+    // 整棵进程树（ConPTY agent + claude），有界（timeout 2s）且提供"返回时已死"语义
+    // （spawnClaude 内部 kill→respawn、workspaces stop→launch 依赖这一点）。
+    // win32 下完全跳过 ptyProcess.kill()。非 Windows 行为不变。
+    if (!killPtyTree(ptyProcess.pid)) {
+      try { ptyProcess.kill(); } catch { }
+    }
     ptyProcess = null;
     ptyKind = null;
     ptySkipPermissions = false;