摘要createDashscopeDevProxy 在 configureServer 中注册 /dev_proxy/remote仅允许目标 hostname 匹配 aliyuncs.com防止开放代理被滥用为任意 SSRF。关键词Vite;代理;SSRF扩展阅读与维护提示本篇围绕「开发环境代理中间件的主机白名单」组织材料。仓库内与主题最直接相关的检索词包括Vite、代理、SSRF。建议在阅读正文所列片段后用 IDE 全局搜索这些符号沿 import 与调用栈向上追问「谁在什么时机调用」而不是只记住单文件路径。摘要所概括的要点为createDashscopeDevProxy 在 configureServer 中注册 /dev_proxy/remote仅允许目标 hostname 匹配 aliyuncs.com防止开放代理被滥用为任意 SSRF。落地到排障时可把现象粗分为三类交叉验证配置是否按预期写入持久化介质WPS COM 上下文是否可用例如是否缺少 ActiveDocument以及网络与证书策略是否拦截了 fetch。本篇涉及的模块通常只覆盖其中一两类需要与相邻篇目拼成完整拼图。教程文件名「26-Vite-kai-fa-daili-yu-zhuji-bai.md」仅用于导航与排序不等价于源码模块名。若正文中的行号与本地分支不一致多半因合并导致行偏移此时应以函数名、导出名为锚重新检索团队若维护了生成脚本可在变更大段源码后重新运行以保持摘录大致对齐。本文刻意避免对产品能力做营销式承诺所述行为均以当前仓库可见实现为准。若组织策略要求离线或内网模型应在网关、证书与代理层收口而不是假设加载项能绕过浏览器安全模型。若你同时阅读 docs/chayuan-llm-chain-series可先对照其中的总体链路图理解「请求从 UI 到 chatApi」的次序再回到本教程看数据结构、默认值与修改风险面两者互补不重复堆砌功能列表。正文1. 主机校验parsed.hostname 必须通过正则后缀测试否则 403。阅读源码摘录时请把它当作「定位入口」而非完整实现同一函数可能在其他分支还有早退条件或 try/catch。修改默认行为前建议用最小文档手工走一遍相关助手或对话框并观察任务清单与日志中的字段是否与预期一致再决定是否做数据迁移或配置重置。// vite.config.js 第7-26行 function createDashscopeDevProxy() { return { name: dashscope-dev-proxy, configureServer(server) { server.middlewares.use(/__dev_proxy__/remote, async (req, res) { try { const method String(req.method || GET).toUpperCase() const url new URL(req.url || , http://localhost) const target url.searchParams.get(url) || if (!target) { res.statusCode 400 res.end(missing target url) return } const parsed new URL(target) if (!/aliyuncs\.com$/i.test(parsed.hostname)) { res.statusCode 403 res.end(forbidden target host) return }