Spaces:

flysuper
/

tts

Running

App Files Files Community

flysuper commited on Oct 21, 2025

Commit

842e6fc

verified ·

1 Parent(s): ba04023

Upload app.py

Browse files

Files changed (1) hide show

app.py +39 -44

app.py CHANGED Viewed

@@ -56,20 +56,19 @@ app.add_middleware(
 # 允許的來源網址清單
 ALLOWED_ORIGINS = [
-    "https://script.google.com/a/macros/apps.dfes.ntpc.edu.tw",  # 特定組織的 GAS
     "https://www.dfes.ntpc.edu.tw",
     "https://www.dfes.ntpc.edu.tw/"
 ]
-# 注意：GAS 實際執行時會使用 script.googleusercontent.com
-# 但我們無法從該網址判斷是否來自特定組織
-# 因此主要依賴於沙箱環境檢測
-# 允許的組織標識（用於 GAS 驗證）
-ALLOWED_ORGANIZATIONS = [
-    "apps.dfes.ntpc.edu.tw",  # 大豐國小組織
-    "dfes.ntpc.edu.tw"        # 大豐國小網域
-]
 # 掛載靜態文件（如果存在）
 if os.path.exists("static"):
@@ -97,39 +96,21 @@ def _is_origin_allowed(request: Request) -> bool:
     print(f"請求來源檢查 - Origin: {origin}, Referer: {referer}, User-Agent: {user_agent}")
-    # 檢查是否為 GAS 環境（有 script.googleusercontent.com 的 Origin/Referer）
-    is_gas_request = False
     if origin and "script.googleusercontent.com" in origin:
-        is_gas_request = True
         print("✅ 檢測到 Google Apps Script Origin")
-    elif referer and "script.googleusercontent.com" in referer:
-        is_gas_request = True
-        print("✅ 檢測到 Google Apps Script Referer")
-    elif not origin and not referer and "mozilla" in user_agent.lower():
-        is_gas_request = True
-        print("⚠️ 檢測到可能的 GAS 沙箱請求")
-    # 如果是 GAS 請求，檢查驗證標頭
-    if is_gas_request:
-        # 檢查是否有組織標識標頭
-        org_header = request.headers.get("x-organization")
-        if org_header:
-            for allowed_org in ALLOWED_ORGANIZATIONS:
-                if allowed_org in org_header.lower():
-                    print(f"✅ 組織驗證通過: {org_header}")
-                    return True
-            print(f"❌ 組織驗證失敗: {org_header}")
-            return False
-        # 檢查是否有自定義驗證標頭
-        custom_header = request.headers.get("x-dfes-verified")
-        if custom_header == "true":
-            print("✅ 自定義驗證標頭通過")
-            return True
-        print("❌ GAS 請求但沒有驗證標頭，拒絕請求")
-        print("⚠️ 請在 GAS 中添加 'x-organization' 或 'x-dfes-verified' 標頭")
-        return False
     # 檢查其他允許的來源（一般網頁）
     if origin:
@@ -144,6 +125,23 @@ def _is_origin_allowed(request: Request) -> bool:
                 print(f"✅ Referer 匹配: {referer} 匹配 {allowed_origin}")
                 return True
     # 允許來自 Hugging Face Spaces 的直接調用
     if "huggingface" in user_agent.lower():
         print("✅ 檢測到 Hugging Face Spaces 環境")
@@ -218,23 +216,20 @@ async def gas_verify(request: Request):
             "current_status": "✅ 請求已通過驗證" if is_gas else "❌ 請求被拒絕"
         },
         "gas_usage_example": {
-            "description": "在 GAS 中使用此 API 的範例（建議添加組織驗證）",
             "code": """
 // 在 Google Apps Script 中
 const response = UrlFetchApp.fetch('https://your-api-url/tts', {
   method: 'POST',
   headers: {
     'Content-Type': 'application/json',
-    'x-organization': 'apps.dfes.ntpc.edu.tw',  // 組織標識
-    'x-dfes-verified': 'true'  // 自定義驗證標頭
   },
   payload: JSON.stringify({
     text: '要轉換的文字',
     voice: 'zh-TW-HsiaoChenNeural'
   })
 });
-// 注意：添加這些標頭可以確保只有大豐國小的 GAS 才能使用 API
             """
         }
     }

 # 允許的來源網址清單
 ALLOWED_ORIGINS = [
+    # 限制為特定組織的 GAS
+    "https://script.google.com/a/macros/apps.dfes.ntpc.edu.tw",
+    "https://script.googleusercontent.com",  # GAS 實際執行網域
+    # 一般網頁來源
     "https://www.dfes.ntpc.edu.tw",
     "https://www.dfes.ntpc.edu.tw/"
 ]
+# 如果希望允許所有 GAS，取消下面兩行的註解
+# "https://script.google.com",  # 所有 Google Apps Script
+# GAS 專用 API 密鑰（可選，用於額外安全驗證）
+GAS_API_KEY = os.getenv("GAS_API_KEY", "your-secret-key-here")
 # 掛載靜態文件（如果存在）
 if os.path.exists("static"):
     print(f"請求來源檢查 - Origin: {origin}, Referer: {referer}, User-Agent: {user_agent}")
+    # 特殊處理 Google Apps Script 環境
+    # GAS 請求的特徵：
+    # 1. Origin 通常包含 script.googleusercontent.com
+    # 2. 或者沒有 Origin/Referer 標頭（沙箱環境）
+    # 3. User-Agent 通常是標準的瀏覽器標頭
+    # 檢查是否為 GAS 的 Origin
     if origin and "script.googleusercontent.com" in origin:
         print("✅ 檢測到 Google Apps Script Origin")
+        return True
+    # 檢查是否為 GAS 的 Referer
+    if referer and "script.googleusercontent.com" in referer:
+        print("✅ 檢測到 Google Apps Script Referer")
+        return True
     # 檢查其他允許的來源（一般網頁）
     if origin:
                 print(f"✅ Referer 匹配: {referer} 匹配 {allowed_origin}")
                 return True
+    # 檢查是否為 GAS 沙箱環境（沒有 Origin/Referer 但有標準瀏覽器 User-Agent）
+    # 這種情況下，我們需要通過其他方式驗證
+    if not origin and not referer and "mozilla" in user_agent.lower():
+        # 檢查是否有 GAS 特有的標頭或特徵
+        # 可以通過檢查特定的請求標頭來驗證
+        print("⚠️ 檢測到可能的 GAS 沙箱請求")
+        # 檢查是否有 API 密鑰驗證
+        api_key = request.headers.get("x-api-key")
+        if api_key and api_key == GAS_API_KEY:
+            print("✅ GAS API 密鑰驗證通過")
+            return True
+        # 如果沒有 API 密鑰，暫時允許（但建議在生產環境中啟用密鑰驗證）
+        print("⚠️ 沒有 API 密鑰驗證，暫時允許請求")
+        return True
     # 允許來自 Hugging Face Spaces 的直接調用
     if "huggingface" in user_agent.lower():
         print("✅ 檢測到 Hugging Face Spaces 環境")
             "current_status": "✅ 請求已通過驗證" if is_gas else "❌ 請求被拒絕"
         },
         "gas_usage_example": {
+            "description": "在 GAS 中使用此 API 的範例",
             "code": """
 // 在 Google Apps Script 中
 const response = UrlFetchApp.fetch('https://your-api-url/tts', {
   method: 'POST',
   headers: {
     'Content-Type': 'application/json',
+    'x-api-key': 'your-secret-key-here'  // 可選，用於額外安全驗證
   },
   payload: JSON.stringify({
     text: '要轉換的文字',
     voice: 'zh-TW-HsiaoChenNeural'
   })
 });
             """
         }
     }