diff --git a/telegram/README.md b/telegram/README.md index 69d32ca..dd2b947 100644 --- a/telegram/README.md +++ b/telegram/README.md @@ -1,10 +1,27 @@ # Telegram Bot Worker -`tg-bot.js` 是一个部署在 Cloudflare Workers 上的 Telegram Bot。它把用户私聊消息转发到管理员论坛群的独立话题中,并提供验证、过滤、封禁、备注、自动回复、备份和配置面板。 +`tg-bot.js` 是一个部署在 Cloudflare Workers 上的 Telegram 双向私聊中继 Bot。它会把用户私聊消息转发到管理员论坛群的独立 topic 中,管理员在对应 topic 内回复即可把消息发回用户,同时提供验证、过滤、封禁、备注、自动回复、备份和 Telegram 内联管理面板。 + +## 来源与致谢 + +本脚本基于 [huliyoudiangou/TG_Chat_Bot-D1](https://github.com/huliyoudiangou/TG_Chat_Bot-D1) 二次修改与自用优化。原项目是一个基于 Cloudflare Worker 和 D1 数据库的 Telegram 双向机器人,并在 GitHub 页面中标注为 forked from [moistrr/TGbot-D1](https://github.com/moistrr/TGbot-D1)。 + +感谢原作者提供 Cloudflare Worker + D1 + Telegram forum topic 的完整实现思路。本仓库版本主要保留原项目的核心工作流,并针对个人使用习惯做了精简、无回执体验、消息编辑同步和安全加固。 + +## 本版本调整 + +- 去掉用户侧“已送达”和管理员侧“已回复”回执,减少打扰和额外 API 调用。 +- 兼容无 `username` 的 Telegram 用户,资料卡仍可通过 `tg://user?id=...` 建立用户链接。 +- 支持用户编辑消息后,在管理员 topic 中记录修改前后内容。 +- 支持管理员编辑 topic 内消息后,主动通知用户“对方修改了消息”。 +- 支持 Webhook secret 校验,配置 `TELEGRAM_WEBHOOK_SECRET` 后会拒绝非 Telegram webhook 请求。 +- 网页验证提交会校验 Telegram WebApp `initData`,并使用 nonce 防止伪造 `user_id`。 +- 管理员 ID 与协管 ID 使用精确匹配,避免字符串片段误判。 +- 屏蔽词和自动回复正则使用安全包装,降低坏正则导致 Worker 异常或 ReDoS 的风险。 ## 核心功能 -- 私聊用户消息转发到管理员群论坛话题。 +- 私聊用户消息转发到管理员群论坛 topic。 - 每个用户自动创建独立 topic,并推送用户身份卡片。 - 管理员在对应 topic 内回复,即可把消息复制回用户私聊。 - 支持 Cloudflare Turnstile 或 Google reCAPTCHA 人机验证。 @@ -14,7 +31,7 @@ - 支持黑名单 topic、用户解封、备注、资料卡置顶。 - 支持消息编辑记录同步。 - 支持消息备份到指定群或频道。 -- 内置 Telegram 管理面板,管理员通过 `/start` 打开。 +- 内置 Telegram 管理面板,主管理员通过 `/start` 打开。 ## 运行环境 @@ -29,10 +46,25 @@ | 名称 | 说明 | | --- | --- | | `BOT_TOKEN` | Telegram Bot Token | -| `ADMIN_IDS` | 管理员 Telegram user id,多个用英文或中文逗号分隔 | +| `ADMIN_IDS` | 主管理员 Telegram user id,多个用英文或中文逗号分隔 | | `ADMIN_GROUP_ID` | 管理员论坛群 ID,通常是 `-100...` | | `WORKER_URL` | Worker 公开访问地址,不要带结尾斜杠 | +## 可选环境变量 + +| 名称 | 说明 | +| --- | --- | +| `TURNSTILE_SITE_KEY` | Cloudflare Turnstile site key | +| `TURNSTILE_SECRET_KEY` | Cloudflare Turnstile secret key | +| `RECAPTCHA_SITE_KEY` | Google reCAPTCHA site key | +| `RECAPTCHA_SECRET_KEY` | Google reCAPTCHA secret key | +| `WELCOME_MESSAGE` | 默认欢迎语,对应配置项 `welcome_msg` | +| `VERIF_QUESTION` | 默认问答验证问题,对应 `verif_q` | +| `VERIF_ANSWER` | 默认问答验证答案,对应 `verif_a` | +| `TELEGRAM_WEBHOOK_SECRET` | Telegram Webhook secret token,配置后会校验请求头 | + +大多数运行时配置也可以在管理员面板中调整,并优先保存到 D1。 + ## D1 绑定 Worker 需要绑定一个 D1 数据库,绑定名必须是: @@ -47,20 +79,6 @@ TG_BOT_DB - `users`:用户状态、封禁状态、topic 映射、用户资料。 - `messages`:用户消息与管理员群 topic 消息的映射。 -## 可选环境变量 - -| 名称 | 说明 | -| --- | --- | -| `TURNSTILE_SITE_KEY` | Cloudflare Turnstile site key | -| `TURNSTILE_SECRET_KEY` | Cloudflare Turnstile secret key | -| `RECAPTCHA_SITE_KEY` | Google reCAPTCHA site key | -| `RECAPTCHA_SECRET_KEY` | Google reCAPTCHA secret key | -| `WELCOME_MESSAGE` | 默认欢迎语,对应配置项 `welcome_msg` | -| `VERIF_QUESTION` | 默认问答验证问题,对应 `verif_q` | -| `VERIF_ANSWER` | 默认问答验证答案,对应 `verif_a` | - -大多数运行时配置也可以在管理员面板中调整,并优先保存到 D1。 - ## 默认配置 | 配置项 | 默认值 | 说明 | @@ -73,7 +91,7 @@ TG_BOT_DB | `verif_a` | `3` | 问题验证答案 | | `block_threshold` | `5` | 命中屏蔽词多少次后封禁 | | `busy_mode` | `false` | 是否启用非营业自动回复 | -| `enable_admin_receipt` | `false` | 管理员回执开关 | +| `enable_admin_receipt` | `false` | 管理员回执开关,当前版本默认不发送回执 | ## 部署流程 @@ -83,14 +101,25 @@ TG_BOT_DB 4. 在 Cloudflare 创建 D1 数据库并绑定为 `TG_BOT_DB`。 5. 创建 Worker,把 [tg-bot.js](tg-bot.js) 作为 Worker 代码。 6. 配置环境变量 `BOT_TOKEN`、`ADMIN_IDS`、`ADMIN_GROUP_ID`、`WORKER_URL`。 -7. 设置 Telegram Webhook: +7. 如果使用网页验证,配置 Turnstile 或 reCAPTCHA 的 site key 与 secret key。 +8. 设置 Telegram Webhook。 + +不使用 secret token 时: ```bash curl "https://api.telegram.org/bot/setWebhook?url=" ``` -8. 访问 Worker 根路径,若返回 `Bot v3.67 Active`,说明 Worker 基本可用。 -9. 管理员私聊 Bot 发送 `/start`,打开控制面板。 +推荐配置 `TELEGRAM_WEBHOOK_SECRET`,并设置 Webhook secret token: + +```bash +curl -X POST "https://api.telegram.org/bot/setWebhook" \ + -d "url=" \ + -d "secret_token=" +``` + +9. 访问 Worker 根路径,若返回 `Bot v3.68 Active`,说明 Worker 基本可用。 +10. 主管理员私聊 Bot 发送 `/start`,打开控制面板。 ## Webhook 路由 @@ -103,7 +132,7 @@ curl "https://api.telegram.org/bot/setWebhook?url=" ## 管理员面板 -管理员私聊 Bot 发送 `/start` 后会打开配置面板,包含: +主管理员私聊 Bot 发送 `/start` 后会打开配置面板,包含: - 基础:欢迎语、验证问题、验证答案、验证码模式、问题验证开关。 - 自动回复:添加或删除关键词自动回复。 @@ -133,12 +162,18 @@ curl "https://api.telegram.org/bot/setWebhook?url=" 4. 如果启用问答验证,用户继续回答问题。 5. 验证通过后,用户消息会转发到管理员群中的个人 topic。 6. 管理员在 topic 中回复,Bot 会把回复发送给该用户。 +7. 用户或管理员编辑消息时,Bot 会同步对应的编辑提示。 -## 注意事项 +## 安全建议 -- `ADMIN_IDS` 使用字符串包含判断,建议使用完整 ID 并用逗号分隔,避免 ID 片段误匹配。 +- 推荐配置 `TELEGRAM_WEBHOOK_SECRET`;未配置时会保持兼容模式,不强制校验 Telegram Webhook secret。 +- `ADMIN_IDS` 和协管列表会按逗号拆分后精确匹配。 - 管理员群必须开启 Topics,否则自动创建用户话题会失败。 - `WORKER_URL` 要使用 HTTPS 公开地址,否则 Telegram Web App 验证页面无法正常工作。 - Turnstile 和 reCAPTCHA 至少配置一种;如果关闭网页验证,可只使用问答验证。 -- Worker 使用内存缓存减少 D1 读取,配置修改后脚本会主动清缓存。 +- 屏蔽词和自动回复支持正则,但建议保持简单,避免复杂表达式造成匹配性能问题。 - 请妥善保护 `BOT_TOKEN`、验证码 secret、D1 数据库和 Cloudflare 账号权限。 + +## 许可证与上游 + +原项目 [huliyoudiangou/TG_Chat_Bot-D1](https://github.com/huliyoudiangou/TG_Chat_Bot-D1) 采用 MIT License。本仓库中的修改版沿用原项目开源精神,仅作个人维护与自用优化;如需完整部署教程、上游更新和问题讨论,请优先参考原作者仓库。 diff --git a/telegram/tg-bot.js b/telegram/tg-bot.js index bbcd4cf..990d612 100644 --- a/telegram/tg-bot.js +++ b/telegram/tg-bot.js @@ -1,14 +1,15 @@ /** - * Telegram Bot Worker v3.67 (No-Receipt Mod & No-Username Fix) + * Telegram Bot Worker v3.68 (No-Receipt Mod, No-Username Fix & Security Hardening) * 完整功能版:保留所有备份、配置面板、辅助函数 * * 修改 1: 修复了无用户名用户无法推送卡片的问题 * * 修改 2: 彻底移除了管理员回复的“✅ 已回复”提示 * * 修改 3: 彻底移除了用户发送消息后的“✅ 已送达”回执 + * * 修改 4: 增加 Webhook secret、WebApp initData、nonce、管理员精确匹配与正则安全检查 */ // --- 1. 静态配置与常量 --- // 缓存系统,用于减少数据库读写压力,降低 Worker KV/D1 计费 -const CACHE = { data: {}, ts: 0, ttl: 60000, user_locks: {}, warn_cd: {} }; +const CACHE = { data: {}, ts: 0, ttl: 60000, user_locks: {}, warn_cd: {}, admin: { ts: 0, ttl: 60000, primary: new Set(), auth: new Set() } }; const DEFAULTS = { // 基础设置 @@ -45,6 +46,17 @@ const MSG_TYPES = [ { check: m => m.text, key: 'enable_text_forwarding', name: "纯文本" } ]; +const REGEX_MAX_PATTERN_LEN = 256; +const REGEX_MAX_TEXT_LEN = 512; +const REGEX_REJECT_PATTERNS = [ + /\([^)]*\)\s*[+*{]/, + /\(\s*\.\*\s*\)\s*\+/, + /\(\s*\.\+\s*\)\s*\+/, + /\\[1-9]/, + /\(\?<=[\s\S]*\)/, + /\(\?i.trim()).filter(Boolean))]; + const sets = await getAdminSets(env); + const admins = [...sets.auth]; for (const id of admins) await api(env.BOT_TOKEN, "setMyCommands", { commands: [{ command: "start", description: "⚙️ 管理面板" }, { command: "help", description: "📄 帮助说明" }], scope: { type: "chat", chat_id: id } }); } catch (e) { console.error("Register Commands Failed:", e); } } @@ -219,11 +233,11 @@ async function handleAdminEdit(msg, env) { async function handlePrivate(msg, env, ctx) { const id = msg.chat.id.toString(); const text = msg.text || ""; - const isAdm = (env.ADMIN_IDS || "").includes(id); + const isAdm = await isPrimaryAdmin(id, env); const u = await getUser(id, env); // 人机验证拦截器 (非管理人员未完成验证则阻断) - if (text !== "/start" && !isAdm) { + if (text !== "/start" && u.user_state !== 'pending_verification' && !isAdm) { const isCaptchaOn = await getBool('enable_verify', env); const isQAOn = await getBool('enable_qa_verify', env); @@ -336,11 +350,13 @@ async function sendStart(id, msg, env) { const isQAOn = await getBool('enable_qa_verify', env); if (isCaptchaOn && url && hasKey) { + const nonce = genNonce(); + await updUser(id, { user_state: "pending_turnstile", user_info: { ...u.user_info, verify_nonce: nonce, verify_nonce_ts: Date.now() } }, env); return api(env.BOT_TOKEN, "sendMessage", { chat_id: id, text: "🛡️ 安全验证\n请点击下方按钮完成人机验证以继续。", parse_mode: "HTML", - reply_markup: { inline_keyboard: [[{ text: "点击进行验证", web_app: { url: `${url}/verify?user_id=${id}` } }]] } + reply_markup: { inline_keyboard: [[{ text: "点击进行验证", web_app: { url: `${url}/verify?user_id=${encodeURIComponent(id)}&nonce=${encodeURIComponent(nonce)}` } }]] } }); } else if (!isCaptchaOn && isQAOn) { await updUser(id, { user_state: "pending_verification" }, env); @@ -359,7 +375,7 @@ async function handleVerifiedMsg(msg, u, env) { // 敏感词屏蔽预检系统 if (text) { const kws = await getJsonCfg('block_keywords', env); - if (kws.some(k => new RegExp(k, 'gi').test(text))) { + if ((Array.isArray(kws) ? kws : []).some(k => safeRegexTest(k, text))) { const c = u.block_count + 1, max = parseInt(await getCfg('block_threshold', env)) || 5; const willBlock = c >= max; await updUser(id, { block_count: c, is_blocked: willBlock }, env); @@ -395,7 +411,7 @@ async function handleVerifiedMsg(msg, u, env) { // 关键词自动回复钩子 if (text) { const rules = await getJsonCfg('keyword_responses', env); - const match = rules.find(r => new RegExp(r.keywords, 'gi').test(text)); + const match = (Array.isArray(rules) ? rules : []).find(r => safeRegexTest(r?.keywords, text)); if (match) return api(env.BOT_TOKEN, "sendMessage", { chat_id: id, text: "自动回复:\n" + match.response }); } @@ -681,18 +697,27 @@ async function handleEdit(msg, env) { // --- 7. Web验证外设接口组件 --- async function handleVerifyPage(url, env) { const uid = url.searchParams.get('user_id'); + const nonce = url.searchParams.get('nonce') || ""; const mode = await getCfg('captcha_mode', env); const siteKey = mode === 'recaptcha' ? env.RECAPTCHA_SITE_KEY : env.TURNSTILE_SITE_KEY; if (!uid || !siteKey) return new Response("Miss Config (Check Mode/Key)", { status: 400 }); const scriptUrl = mode === 'recaptcha' ? "https://www.google.com/recaptcha/api.js" : "https://challenges.cloudflare.com/turnstile/v0/api.js"; const divClass = mode === 'recaptcha' ? "g-recaptcha" : "cf-turnstile"; - const html = `

🛡️ 安全验证

`; + const html = `

🛡️ 安全验证

`; return new Response(html, { headers: { "Content-Type": "text/html" } }); } async function handleTokenSubmit(req, env) { try { - const { token, userId } = await req.json(); + const { token, userId, nonce, initData } = await req.json(); + const parsed = await verifyTelegramInitData(initData || "", env.BOT_TOKEN, 600); + const verifiedUserId = parsed?.userId?.toString(); + if (!verifiedUserId || (userId && userId.toString() !== verifiedUserId)) throw new Error("Invalid Telegram initData"); + const user = await getUser(verifiedUserId, env); + if (user.is_blocked && !(await isAuthAdmin(verifiedUserId, env))) throw new Error("Blocked user"); + if (!nonce || user.user_info.verify_nonce !== nonce || Date.now() - (user.user_info.verify_nonce_ts || 0) > 15 * 60 * 1000) { + throw new Error("Invalid verification nonce"); + } const mode = await getCfg('captcha_mode', env); let success = false; const verifyUrl = mode === 'recaptcha' ? 'https://www.google.com/recaptcha/api/siteverify' : 'https://challenges.cloudflare.com/turnstile/v0/siteverify'; @@ -704,11 +729,11 @@ async function handleTokenSubmit(req, env) { if (!success) throw new Error("Invalid Token"); if (await getBool('enable_qa_verify', env)) { - await updUser(userId, { user_state: "pending_verification" }, env); - await api(env.BOT_TOKEN, "sendMessage", { chat_id: userId, text: "✅ 验证通过!\n请回答:\n" + await getCfg('verif_q', env) }); + await updUser(verifiedUserId, { user_state: "pending_verification", user_info: { ...user.user_info, verify_nonce: "", verify_nonce_ts: 0 } }, env); + await api(env.BOT_TOKEN, "sendMessage", { chat_id: verifiedUserId, text: "✅ 验证通过!\n请回答:\n" + await getCfg('verif_q', env) }); } else { - await updUser(userId, { user_state: "verified" }, env); - await api(env.BOT_TOKEN, "sendMessage", { chat_id: userId, text: "✅ 验证通过!\n现在您可以直接发送消息,我会帮您转达给管理员。" }); + await updUser(verifiedUserId, { user_state: "verified", user_info: { ...user.user_info, verify_nonce: "", verify_nonce_ts: 0 } }, env); + await api(env.BOT_TOKEN, "sendMessage", { chat_id: verifiedUserId, text: "✅ 验证通过!\n现在您可以直接发送消息,我会帮您转达给管理员。" }); } return new Response(JSON.stringify({ success: true })); } catch { return new Response(JSON.stringify({ success: false }), { status: 400 }); } @@ -727,12 +752,15 @@ async function handleCallback(cb, env) { const [act, p1, p2, p3] = data.split(':'); if (act === 'note' && p1 === 'set') { + if (!msg || msg.chat.id.toString() !== env.ADMIN_GROUP_ID || !(await isAuthAdmin(from.id, env))) { + return api(env.BOT_TOKEN, "answerCallbackQuery", { callback_query_id: cb.id, text: "无操作权限", show_alert: true }); + } await setCfg(`admin_state:${from.id}`, JSON.stringify({ action: 'input_note', target: p2 }), env); return api(env.BOT_TOKEN, "sendMessage", { chat_id: msg.chat.id, message_thread_id: msg.message_thread_id, text: "⌨️ 请回复备注内容 (回复 /clear 清除):" }); } if (act === 'config') { - if (!(env.ADMIN_IDS||"").includes(from.id.toString())) return api(env.BOT_TOKEN, "answerCallbackQuery", { callback_query_id: cb.id, text: "无操作权限", show_alert: true }); + if (!(await isPrimaryAdmin(from.id, env))) return api(env.BOT_TOKEN, "answerCallbackQuery", { callback_query_id: cb.id, text: "无操作权限", show_alert: true }); if (p1 === 'rotate_mode') { const currentMode = await getCfg('captcha_mode', env); @@ -750,7 +778,10 @@ async function handleCallback(cb, env) { return handleAdminConfig(msg.chat.id, msg.message_id, p1, p2, p3, env); } - if (msg.chat.id.toString() === env.ADMIN_GROUP_ID) { + if (msg && msg.chat.id.toString() === env.ADMIN_GROUP_ID) { + if (!(await isAuthAdmin(from.id, env))) { + return api(env.BOT_TOKEN, "answerCallbackQuery", { callback_query_id: cb.id, text: "无操作权限", show_alert: true }); + } await api(env.BOT_TOKEN, "answerCallbackQuery", { callback_query_id: cb.id }); if (act === 'pin_card') api(env.BOT_TOKEN, "pinChatMessage", { chat_id: msg.chat.id, message_id: msg.message_id, message_thread_id: msg.message_thread_id }); else if (['block','unblock'].includes(act)) { @@ -852,11 +883,87 @@ async function handleAdminInput(id, msg, state, env) { const getBool = async (k, e) => (await getCfg(k, e)) === 'true'; const getJsonCfg = async (k, e) => safeParse(await getCfg(k, e), []); const escape = t => (t||"").toString().replace(/&/g,'&').replace(//g,'>'); -const isAuthAdmin = async (id, e) => { - const idStr = id.toString(); - if ((e.ADMIN_IDS||"").includes(idStr)) return true; - const list = await getJsonCfg('authorized_admins', e); - return list.includes(idStr); + +function parseIdsToSet(str) { + return new Set((str || "").toString().split(/[,,]/).map(s => s.trim()).filter(Boolean)); +} + +async function getAdminSets(env) { + const now = Date.now(); + if (CACHE.admin.ts && now - CACHE.admin.ts < CACHE.admin.ttl) return CACHE.admin; + + const primary = parseIdsToSet(env.ADMIN_IDS || ""); + const authList = await getJsonCfg('authorized_admins', env); + const auth = new Set([...primary, ...((Array.isArray(authList) ? authList : []).map(x => x.toString()))]); + CACHE.admin = { ts: now, ttl: CACHE.admin.ttl, primary, auth }; + return CACHE.admin; +} + +const isPrimaryAdmin = async (id, e) => (await getAdminSets(e)).primary.has(id.toString()); +const isAuthAdmin = async (id, e) => (await getAdminSets(e)).auth.has(id.toString()); + +function safeRegexTest(pattern, text) { + try { + if (!pattern || typeof pattern !== "string") return false; + const p = pattern.trim(); + if (!p || p.length > REGEX_MAX_PATTERN_LEN) return false; + if (REGEX_REJECT_PATTERNS.some(re => re.test(p))) return false; + const t = (text || "").toString(); + return new RegExp(p, 'gi').test(t.length > REGEX_MAX_TEXT_LEN ? t.slice(0, REGEX_MAX_TEXT_LEN) : t); + } catch { + return false; + } +} + +function isTelegramWebhook(req, env) { + const secret = (env.TELEGRAM_WEBHOOK_SECRET || "").toString(); + if (!secret) return true; + const header = req.headers.get("X-Telegram-Bot-Api-Secret-Token") || ""; + return timingSafeEqualStr(header, secret); +} + +function timingSafeEqualStr(a, b) { + const aa = (a || "").toString(); + const bb = (b || "").toString(); + let out = aa.length ^ bb.length; + const len = Math.max(aa.length, bb.length); + for (let i = 0; i < len; i++) out |= (aa.charCodeAt(i) || 0) ^ (bb.charCodeAt(i) || 0); + return out === 0; +} + +function genNonce(bytes = 24) { + const data = new Uint8Array(bytes); + crypto.getRandomValues(data); + return btoa(String.fromCharCode(...data)).replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/g, ''); +} + +async function hmacSha256(key, data) { + const enc = new TextEncoder(); + const cryptoKey = await crypto.subtle.importKey("raw", key instanceof Uint8Array ? key : enc.encode(key), { name: "HMAC", hash: "SHA-256" }, false, ["sign"]); + return new Uint8Array(await crypto.subtle.sign("HMAC", cryptoKey, enc.encode(data))); +} + +function hex(bytes) { + return [...bytes].map(b => b.toString(16).padStart(2, "0")).join(""); +} + +async function verifyTelegramInitData(initData, botToken, maxAgeSec = 600) { + if (!initData || !botToken) return null; + const params = new URLSearchParams(initData); + const receivedHash = params.get("hash") || ""; + if (!receivedHash) return null; + params.delete("hash"); + + const authDate = Number(params.get("auth_date") || 0); + if (!authDate || Math.abs(Math.floor(Date.now() / 1000) - authDate) > maxAgeSec) return null; + + const checkString = [...params.entries()].sort(([a], [b]) => a.localeCompare(b)).map(([k, v]) => `${k}=${v}`).join("\n"); + const secret = await hmacSha256("WebAppData", botToken); + const calcHash = hex(await hmacSha256(secret, checkString)); + if (!timingSafeEqualStr(calcHash, receivedHash)) return null; + + const user = safeParse(params.get("user"), null); + return user?.id ? { userId: user.id.toString(), user } : null; }; // HTML `` 标签组装逻辑:穿透安全审查拦截,对无用户名账号建立伪链接 @@ -895,4 +1002,4 @@ const getBtns = (id, blk, username) => { btns.push([{ text: "✏️ 录入备注", callback_data: `note:set:${id}` }, { text: "📌 提升置顶", callback_data: `pin_card:${id}` }]); return { inline_keyboard: btns }; -}; \ No newline at end of file +};