cc-viewer 1.6.304 → 1.6.306

package/dist/index.html

@@ -21,7 +21,7 @@
     // 整体显示大小已弃用 CSS zoom：Electron 改用 webFrame.setZoomFactor（首屏抢占见
     // electron/tab-content-preload.js），纯浏览器交由用户用浏览器自带快捷键缩放，故此处不再设 zoom。
   </script>
-  <script type="module" crossorigin src="/assets/index-BDK4eIE5.js"></script>
+  <script type="module" crossorigin src="/assets/index-1bh2o4MD.js"></script>
   <link rel="modulepreload" crossorigin href="/assets/vendor-antd-Bur5ZxWE.js">
   <link rel="modulepreload" crossorigin href="/assets/vendor-codemirror-Si44UqBp.js">
   <link rel="modulepreload" crossorigin href="/assets/vendor-mdxeditor-Cco3AQJS.js">

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "cc-viewer",
-  "version": "1.6.304",
+  "version": "1.6.306",
   "description": "Claude Code Logger visualization management tool",
   "license": "MIT",
   "main": "server.js",

package/server/interceptor.js

@@ -64,7 +64,7 @@ let _defaultConfig = null; // { origin, authType, model }
 
 function _getActiveProfileFilePath() {
   // _projectName/_logDir 声明在 ~line 218；本函数只会在这些变量初始化后被调用
-  // （_loadProxyProfile 的初始调用被挪到 line ~237 之后；watchFile 回调、HTTP handler 也都在之后）
+  // （_loadProxyProfile 的初始调用与 watchFile 挂载都被挪到 _projectName/_logDir 初始化之后；watchFile 回调、HTTP handler 也都在之后）
   if (!_projectName || !_logDir) return null;
   return join(_logDir, 'active-profile.json');
 }
@@ -159,7 +159,7 @@ function getActiveProfileId() {
 }
 
 // _loadProxyProfile 的初始调用 + watchFile 挂载挪到 _projectName/_logDir 初始化之后
-// （见 "初始化日志文件路径" 段后的 _kickoffProxyProfileWatcher 调用），避免 TDZ。
+// （见 "初始化日志文件路径" 段后的 _loadProxyProfile() + watchFile(PROFILE_PATH, …) 挂载），避免 TDZ。
 
 // 纯函数：把 headers 里任意大小写的 authorization / x-api-key 替换为 profile 的 apiKey；
 // 两者都不存在时强制植入 x-api-key（第三方代理最常见的鉴权形式）。

package/server/lib/approval-modal-prefs.js

@@ -5,7 +5,7 @@
 // fields (modalEnabled, soundEnabled, notifyOnlyWhenHidden) plus the voicePack subtree.
 // voice-pack-manager.js stays focused on the file/audio backing store.
 //
-// Both server/server.js (handles POST /api/preferences) and src/AppBase.jsx (hydrate +
+// Both server/routes/preferences.js (handles POST /api/preferences) and src/AppBase.jsx (hydrate +
 // handleVoicePackChange) use this so the merge contract is single-sourced.
 
 import { EVENT_KEYS } from './voice-pack-events.js';

package/server/lib/claude-md-discovery.js

@@ -6,7 +6,7 @@
  * 策略：
  *   - 项目候选：从 cwd 实际路径（realpath 后）向上走，每层若 <dir>/CLAUDE.md 存在且为文件，收一条。
  *     终止条件：dir === dirname(dir)（fs root） / dir === homedir() / <dir>/.git 存在 / depth 达 8（任一即停）。
- *     hit homedir 与 hit .git 时仍包含当前层再停，hit fs root 立即停。
+ *     三种终止条件（homedir / .git / fs root）都先收当前层再停——pushIfFile 在终止判定之前无条件执行。
  *   - 全局候选：~/.claude/CLAUDE.md（以参数 claudeConfigDir 为准，由调用方传入，便于沙箱测试）。
  *   - 排序：项目候选按"靠近 cwd"在前，全局总是最后一条。
  *   - 去重：基于 realpath 去重；同一物理文件被多入口指向只留一条（保留先入者）。

package/server/lib/file-api.js

@@ -29,7 +29,9 @@ class FileApiError extends Error {
 }
 
 /**
- * Resolve and validate a file path. Used by readFileContent and file-raw handler.
+ * Resolve and validate a file path. No production callers (readFileContent does its own inline
+ * path validation); kept as a standalone, path-traversal-defending helper covered by
+ * test/file-api-gap.test.js — don't delete as "dead code" without removing that test.
  * @param {string} cwd - project working directory
  * @param {string} reqPath - requested path (relative or absolute)
  * @param {boolean} isEditorSession - whether this is an editor session

package/server/lib/im-lock.js

@@ -5,7 +5,7 @@
 // - 获取用 openSync(path,'wx') 原子哨兵（与 workspace-registry.js 同款），保证并发只有一个赢家。
 // - 内容写入走 temp + renameSyncWithRetry（与 file-api.js / saveWorkspaces 一致），避免读到半写 JSON。
 // - 读方对 JSON.parse 失败一律容忍（返回 null），绝不据此删锁。
-// - 活性判定三态：dead（无锁）/ booting（已建锁未写 port 且在启动窗内）/ ready（已写 port 且 HTTP 身份探测通过）。
+// - 活性判定四态：dead（无锁）/ booting（已建锁未写 port 且在启动窗内）/ ready（已写 port 且 HTTP 身份探测通过）/ hung（pid 存活但探测失败或超启动窗）。
 //   长跑 bot 不会更新 mtime，故不沿用 workspace-registry 的 mtime 陈旧判据，改用 PID 存活 + HTTP 身份探测。
 // - 释放按身份（仅当锁的 pid === 调用方 pid 才 unlink），避免误删后继进程的锁。
 import { openSync, closeSync, readFileSync, writeFileSync, unlinkSync, mkdirSync, existsSync } from 'node:fs';

package/server/lib/log-stream.js

@@ -127,7 +127,7 @@ function extractDedupKey(raw) {
   const ts = extractTimestamp(raw);
   const urlMatch = raw.match(/"url"\s*:\s*"([^"]+)"/);
   if (ts && urlMatch) return `${ts}|${urlMatch[1]}`;
-  // fallback: 无法提取 key 则用内容哈希
+  // fallback: 无法提取 key 时返回 null；调用方改用位置键 __nokey_<index> 入表（非内容哈希）。
   return null;
 }
 

package/server/lib/perm-bridge.js

@@ -8,7 +8,7 @@
  * (allow/deny) in the web UI, then outputs hookSpecificOutput.
  *
  * Exit 0 = success (stdout contains hookSpecificOutput with permissionDecision)
- * Exit 1 = fallback (Claude Code proceeds with normal terminal UI)
+ * Exit 1 = error (malformed/missing stdin or invalid env); makes Claude Code log a hook error. Graceful fallback (cc-viewer not running / no decision) instead exits 0 with { continue: true } so the terminal UI proceeds without an error log.
  */
 
 import { readFileSync } from 'node:fs';

package/server/lib/skills-api.js

@@ -231,7 +231,7 @@ export function moveSkill({ source, name, enable, projectDir = process.cwd(), ho
     renameSync(from, to);
   } catch (e) {
     if (e.code === 'EXDEV') {
-      // 跨设备兜底：cp -r + rm -rf（server.js:1337 已有相似模式）
+      // 跨设备兜底：cp -r + rm -rf（与 routes/files-fs.js 的 EXDEV 分支同款模式）
       cpSync(from, to, { recursive: true });
       rmSync(from, { recursive: true, force: true });
     } else {

package/server/lib/turn-end-bridge.js

@@ -51,7 +51,7 @@ if (!port) {
 }
 
 // Drain stdin best-effort. Claude Code passes a JSON payload with session_id /
-// transcript_path; only session_id is forwarded. Capped to 64 KB to defang any
+// transcript_path; both session_id and transcript_path are forwarded. Capped to 64 KB to defang any
 // malformed huge payload().
 let stdinData = '';
 try {

package/server/lib/voice-pack-manager.js

@@ -2,7 +2,7 @@
 //
 // Layout:
 //   <LOG_DIR>/voice-packs/<id>.<ext>     ← user-uploaded audio
-//   <repo>/public/voice-packs/default/   ← bundled default pack (Pixel Buddy chiptune)
+//   <repo>/public/voice-packs/default/   ← bundled default pack (default-butler — "Butler · 皇上系列")
 //
 // Why a UUID-keyed flat dir (no nested user-supplied paths): the audio id ends up
 // in URL path (/api/voice-pack/audio/:id), so we whitelist [a-f0-9-]{8,64} and

package/server/lib/workflow-live.js

@@ -8,8 +8,10 @@
  *     ├─ agent-<id>.meta.json    {"agentType":...}
  *     └─ journal.jsonl           started / result 事件（带 agentId）→ running / done 判定
  *
- * 推导出的模型与 normalizeWorkflowJournal 同形（phases 为空 → 前端走扁平 agent 列表），
- * 完成后由权威的 <runId>.json 快照接管（phase 分组）。
+ * 推导出的模型与 normalizeWorkflowJournal 同形。phases 由 parsePhasesFromScript 从生成脚本
+ * （workflows/scripts/<name>-<runId>.js 顶部 meta.phases）文本解析填充——运行中即可显示阶段列；
+ * 但 agent 的 phaseIndex 运行中仍为 null（无权威 agent→phase 映射），故前端按「有 phases 但无
+ * agent 带 numeric phaseIndex」走扁平 agent 列表，完成后由权威的 <runId>.json 快照接管 phase 分组。
  *
  * token 口径：input + output + cache_creation（运行中单调增；与完成快照略有出入，完成时被
  * 权威值替换）。工具数与快照一致（统计 tool_use 块）。
@@ -24,6 +26,10 @@ import { _RUN_ID_RE as RUN_ID_RE } from './workflow-journal.js';
 const MAX_AGENT_BYTES = 64 * 1024 * 1024;
 const LABEL_MAX = 80;
 const PROMPT_PREVIEW_MAX = 600;  // 头部菱形 hover 预览的 prompt 截断长度（与 journal promptPreview 量级一致）
+const MAX_SCRIPT_BYTES = 2 * 1024 * 1024;  // 脚本超过此大小只读头部 SCRIPT_HEAD_BYTES（meta 恒在文件最前）
+const SCRIPT_HEAD_BYTES = 256 * 1024;      // 超大脚本时读取的头部字节数，足够覆盖 meta 块
+const MAX_PHASES = 50;                       // 解析出的 phases 项数上限（防御异常脚本）
+const PHASES_CACHE_MAX = 256;                // _phasesCache 条目上限（防长跑服务端无界增长）
 
 function projectsDir() {
   return process.env.CCV_PROJECTS_DIR || join(getClaudeConfigDir(), 'projects');
@@ -45,15 +51,161 @@ function isInsideProjectsDir(realPath) {
   return realPath === root || realPath.startsWith(root + sep);
 }
 
-/** 从 workflows/scripts/<name>-<runId>.js 反推 workflowName（运行中即可拿到）。 */
-function deriveWorkflowName(sessionDir, runId) {
+/**
+ * 从 workflows/scripts/<name>-<runId>.js 反推 workflowName + 脚本绝对路径（运行中即可拿到）。
+ * 一次 readdirSync 同时给出 name 与 scriptPath，供 phases 解析复用，避免重复扫目录。
+ * @returns {{ name: string, scriptPath: string|null }}
+ */
+function deriveWorkflowScript(sessionDir, runId) {
   try {
     const scriptsDir = join(sessionDir, 'workflows', 'scripts');
+    const suffix = `-${runId}.js`;
     for (const f of readdirSync(scriptsDir)) {
-      if (f.endsWith(`-${runId}.js`)) return f.slice(0, -(`-${runId}.js`.length));
+      if (f.endsWith(suffix)) {
+        return { name: f.slice(0, -suffix.length), scriptPath: join(scriptsDir, f) };
+      }
     }
   } catch {}
-  return '';
+  return { name: '', scriptPath: null };
+}
+
+/**
+ * 从一个对象/数组字面量起始的开括号位置，做「字符串感知」的括号配对扫描，
+ * 返回配平的闭括号下标（含）；不配平返回 -1。
+ * 进入 '...' / "..." 串态时不计括号、并处理 `\` 转义，故 detail 文本里的
+ * `]` `}` `'` 都不会破坏配对。
+ */
+function _matchBalanced(text, openIdx) {
+  const open = text[openIdx];
+  const close = open === '[' ? ']' : '}';
+  let depth = 0, inStr = false, quote = '', esc = false;
+  for (let i = openIdx; i < text.length; i++) {
+    const ch = text[i];
+    if (inStr) {
+      if (esc) { esc = false; continue; }
+      if (ch === '\\') { esc = true; continue; }
+      if (ch === quote) inStr = false;
+      continue;
+    }
+    if (ch === "'" || ch === '"' || ch === '`') { inStr = true; quote = ch; continue; }
+    if (ch === '[' || ch === '{') depth++;
+    else if (ch === ']' || ch === '}') {
+      depth--;
+      if (depth === 0) return i;
+    }
+  }
+  return -1;
+}
+
+/** 反转义 JS 单/双引号字符串字面量的内容（仅常见序列；够用且安全）。 */
+function _unescapeStr(s) {
+  return s.replace(/\\(['"`\\nrt])/g, (_, c) =>
+    c === 'n' ? '\n' : c === 'r' ? '\r' : c === 't' ? '\t' : c);
+}
+
+/**
+ * 在一段对象字面量文本里抽取 `key: '...'`（字符串感知，处理转义）。无则 null。
+ * key 前要求边界字符（`{` / `,` / 空白 / 串首），避免 subtitle/subdetail 等更长键名
+ * 子串命中 title/detail。
+ */
+function _extractStrField(objText, key) {
+  const re = new RegExp(`(?:^|[{,\\s])${key}\\s*:\\s*(['"\`])`);
+  const m = re.exec(objText);
+  if (!m) return null;
+  const quote = m[1];
+  let i = m.index + m[0].length, esc = false, out = '';
+  for (; i < objText.length; i++) {
+    const ch = objText[i];
+    if (esc) { out += ch; esc = false; continue; }
+    if (ch === '\\') { out += ch; esc = true; continue; }
+    if (ch === quote) return _unescapeStr(out);
+    out += ch;
+  }
+  return null;
+}
+
+/**
+ * 纯文本解析 workflow 脚本顶部 `export const meta = { ... phases: [{title, detail?}, ...] }`。
+ * 绝不 import/eval 脚本（执行不可信代码）。输出与 normalizeWorkflowJournal 同形：
+ *   [{ index:(从1), title:string, detail:string('' if missing) }]
+ * 任何异常/不匹配/无 phases 一律返回 []。
+ */
+export function parsePhasesFromScript(scriptText) {
+  if (typeof scriptText !== 'string' || !scriptText) return [];
+  // 框定 meta 块（meta 恒为顶部纯字面量）
+  const metaKey = scriptText.match(/export\s+const\s+meta\s*=\s*\{/);
+  if (!metaKey) return [];
+  const metaOpen = scriptText.indexOf('{', metaKey.index);
+  const metaClose = _matchBalanced(scriptText, metaOpen);
+  if (metaClose === -1) return [];
+  const metaBody = scriptText.slice(metaOpen, metaClose + 1);
+
+  // 在 meta 内定位 phases 数组（字符串感知配对，detail 内的 `]` 不影响）
+  const phasesKey = metaBody.match(/phases\s*:\s*\[/);
+  if (!phasesKey) return [];
+  const arrOpen = metaBody.indexOf('[', phasesKey.index);
+  const arrClose = _matchBalanced(metaBody, arrOpen);
+  if (arrClose === -1) return [];
+  const arrBody = metaBody.slice(arrOpen + 1, arrClose);
+
+  // 逐项切出 {...} 对象（字符串感知配对），抽 title/detail
+  const phases = [];
+  let i = 0;
+  while (i < arrBody.length && phases.length < MAX_PHASES) {
+    const objOpen = arrBody.indexOf('{', i);
+    if (objOpen === -1) break;
+    const objClose = _matchBalanced(arrBody, objOpen);
+    if (objClose === -1) break;
+    const objText = arrBody.slice(objOpen, objClose + 1);
+    const title = _extractStrField(objText, 'title');
+    if (title !== null) {
+      phases.push({ index: phases.length + 1, title, detail: _extractStrField(objText, 'detail') || '' });
+    }
+    i = objClose + 1;
+  }
+  return phases;
+}
+
+// scriptPath → { mtimeMs, size, phases }。脚本运行中不可变，命中即跳过读盘+解析；
+// edit-then-resume（mtime/size 变）则重解析。size 上限淘汰防长跑无界增长。
+const _phasesCache = new Map();
+
+/** 安全读取并（带缓存地）解析脚本 phases。失败/越界一律 []。 */
+function readPhasesCached(scriptPath) {
+  if (!scriptPath) return [];
+  let real;
+  try { real = realpathSync(scriptPath); } catch { return []; }
+  if (!isInsideProjectsDir(real)) return [];
+
+  let mtimeMs, size;
+  try { ({ mtimeMs, size } = statSync(real)); } catch { return []; }
+
+  const hit = _phasesCache.get(real);
+  if (hit && hit.mtimeMs === mtimeMs && hit.size === size) return hit.phases;
+
+  let text = '';
+  try {
+    if (size <= MAX_SCRIPT_BYTES) {
+      text = readFileSync(real, 'utf-8');
+    } else {
+      const fd = openSync(real, 'r');
+      try {
+        const buf = Buffer.allocUnsafe(SCRIPT_HEAD_BYTES);
+        const n = readSync(fd, buf, 0, SCRIPT_HEAD_BYTES, 0);
+        text = buf.subarray(0, n).toString('utf-8');
+      } finally { closeSync(fd); }
+    }
+  } catch { return []; }
+
+  const phases = parsePhasesFromScript(text);
+  if (_phasesCache.size >= PHASES_CACHE_MAX) _phasesCache.clear();
+  _phasesCache.set(real, { mtimeMs, size, phases });
+  return phases;
+}
+
+/** 测试辅助：清空 phases 解析缓存。 */
+export function __clearPhasesCacheForTests() {
+  _phasesCache.clear();
 }
 
 // 每文件增量解析缓存：filePath → { mtimeMs, size, offset, partial(Buffer), acc }。
@@ -194,7 +346,9 @@ export function deriveLiveJournal(runDir, runId) {
   const { done } = readResumeJournal(runDir);
   // sessionDir = runDir 上溯三级（runId → workflows → subagents → sessionDir）
   const sessionDir = dirname(dirname(dirname(runDir)));
-  const workflowName = deriveWorkflowName(sessionDir, runId);
+  const { name: workflowName, scriptPath } = deriveWorkflowScript(sessionDir, runId);
+  // 运行中从生成脚本文本解析 meta.phases 填充阶段列（权威 <runId>.json 落盘后由完成快照接管）。
+  const phases = readPhasesCached(scriptPath);
 
   const agents = [];
   let totalTokens = 0, totalToolCalls = 0;
@@ -248,7 +402,7 @@ export function deriveLiveJournal(runDir, runId) {
     totalToolCalls,
     defaultModel: '',
     startTime,
-    phases: [],
+    phases,
     agents,
     live: true,
   };

package/server/lib/workflow-watcher.js

@@ -162,7 +162,10 @@ export function unwatchWorkflowDir(workflowsDir) {
 function _liveSignature(data) {
   if (!data) return 'none';
   const states = data.agents.map(a => `${a.agentId}:${a.state}:${a.tokens}:${a.toolCalls}`).join('|');
-  return `${data.status}#${data.agentCount}#${data.totalTokens}#${data.totalToolCalls}#${states}`;
+  // 纳入 phases 摘要：edit-then-resume 改写脚本 meta.phases（agent 计数/态未变）时也能触发重播，
+  // 否则 readPhasesCached 已按 mtime/size 失效重解析了新 phases，却因签名不变被这里抑制广播。
+  const phases = (data.phases || []).map(p => p.title).join(',');
+  return `${data.status}#${data.agentCount}#${data.totalTokens}#${data.totalToolCalls}#${phases}#${states}`;
 }
 
 // runDir = <sessionDir>/subagents/workflows/<runId> → 上溯三级到 sessionDir，查权威快照是否已落盘

package/server/routes/ask-perm.js

@@ -123,8 +123,8 @@ function askHook(req, res, parsedUrl, isLocal, deps) {
       }
 
       // TOCTOU 防御：占位 id 之前先注册 res.on('close')，否则 await runWaterfallHook 期间 client
-      // abort 的 close 事件落空 → entry 残 5min。占位 set 提前到 await 之前防两条同 ms 并发
-      // POST 的 do-while 都通过 collision check 后 set 互相覆盖（first res 永泄漏到 5min）。
+      // abort 的 close 事件落空 → entry 残到 HOOK_TIMEOUT（24h）。占位 set 提前到 await 之前防两条同 ms 并发
+      // POST 的 do-while 都通过 collision check 后 set 互相覆盖（first res 永泄漏到 HOOK_TIMEOUT）。
       const _placeholderEntry = { questions, res, timer: null, createdAt: Date.now(), shortPoll: shortPollMode };
       deps.pendingAskHooks.set(id, _placeholderEntry);
       deps.persistAskEntry(id, _placeholderEntry);

package/server/routes/files-fs.js

@@ -35,7 +35,7 @@ function upload(req, res, parsedUrl, isLocal, deps) {
     if (totalSize > MAX_UPLOAD) {
       aborted = true;
       res.writeHead(413, { 'Content-Type': 'application/json' });
-      res.end(JSON.stringify({ error: 'File too large (max 50MB)' }));
+      res.end(JSON.stringify({ error: 'File too large (max 100MB)' }));
       req.destroy();
       return;
     }

package/server/routes/im.js

@@ -3,8 +3,9 @@
 //   GET  /api/im/:platform/status  — public; remote callers get only enabled+hasSecret+connection,
 //                                    the local (admin) caller additionally gets plaintext secrets + process info.
 //   POST /api/im/:platform/config  — loopback-only; save creds, then drive the process manager
-//                                    (enable→stop+spawn worker, disable→stop). Enabling requires a
-//                                    non-empty allowlist (the worker runs with --dangerously-skip-permissions).
+//                                    (enable→stop+spawn worker, disable→stop). Allowlist is optional:
+//                                    enabling with an empty one warns (not blocked) since the worker
+//                                    runs with --dangerously-skip-permissions.
 //   POST /api/im/:platform/test    — loopback-only; validate creds (fetch an access token).
 //   POST /api/im/:platform/process — loopback-only; {action:start|stop|restart} the detached worker.
 //   GET  /api/im/:platform/logs    — resolve the worker's latest .jsonl (for the records popup).
@@ -115,6 +116,8 @@ function imConfigPost(req, res, parsedUrl, isLocal, deps) {
       res.end(JSON.stringify({ error: 'Invalid JSON' }));
       return;
     }
+    // 【已评审确认 / ACCEPTED】允许空白名单是有意的产品取舍，非缺陷——code review 请勿反复 flag。
+    //   缓解层：PreToolUse permissions.deny（perm-bridge/im-deny，独立于白名单）始终硬拦截 + 服务端审计日志。
     // 发送者白名单为非必填：启用时若白名单为空，不再硬拦截，而是允许保存（前端会弹安全警告）。
     // 安全提示：worker 以 --dangerously-skip-permissions 运行；白名单为空时运行期退化为
     // bind-first-conversation（im-bridge-core.js）——首个向机器人发消息的会话被绑定，该会话内任何人

package/server/server.js

@@ -1982,7 +1982,7 @@ export function broadcastTurnEnd(sessionId = null, ts = Date.now()) {
 }
 
 // 流式状态 SSE 推送定时器：检测 streamingState 变化并广播给所有客户端。
-// rising-edge → turn_end flush 由 _observeStreamingTick 统一处理。
+// rising-edge → turn_end cancel（丢弃 pending，不 flush）由 _observeStreamingTick 统一处理。
 let _streamingStatusTimer = null;
 // 启动后 30s 的更新检查 timer 句柄。必须可清理:
 //  - .unref() 防止它把事件循环 keep-alive 30s(测试进程靠 --test-force-exit 兜底是时序侥幸);
@@ -1995,7 +1995,7 @@ function startStreamingStatusTimer() {
     if (isSdkMode) return;
     const isActive = streamingState.active;
     const wasActive = _lastCliActive;
-    // 统一走 _observeStreamingTick：内部负责 rising-edge cancel（flush pending turn_end）+ 更新 _lastCliActive。
+    // 统一走 _observeStreamingTick：内部负责 rising-edge cancel（丢弃 pending turn_end，不 flush）+ 更新 _lastCliActive。
     _observeStreamingTick(isActive, 'cli');
     const changed = wasActive !== isActive;
     if (changed || isActive) {