fix: 端口更换 & 代码审核修复

端口:
- 服务端口 8000 → 7329
- 前端开发端口 5173 → 7330

安全:
- CORS 收紧为白名单，关闭 credentials
- SPA 路由白名单完善
- 前端 XSS 转义

可靠性:
- 时区统一为 datetime.now(timezone.utc)
- 文章入库改为内存去重 + 增量计数
- OPML 导入改为 body 参数接收
- OPML 导出 URL XML 转义
- 首次抓取改为 BackgroundTasks 异步
- articles.py HTTPException 移到顶部 import
- FTS5 异常显式日志
- FTS5 查询加引号包裹防布尔注入
- 中文摘要支持中文标点
- 去掉未使用的 hashlib import

部署:
- Dockerfile 锁 python:3.12.7-slim
- requirements 锁定具体版本
- healthcheck 不用 curl（镜像里没有）
- docker-compose 使用 .env 文件
- 新增 .env 配置文件

backend/main.py

@@ -35,13 +35,17 @@ app = FastAPI(
     lifespan=lifespan,
 )
 
-# CORS
+# CORS — 仅允许同源和开发环境
 app.add_middleware(
     CORSMiddleware,
-    allow_origins=["*"],
-    allow_credentials=True,
-    allow_methods=["*"],
-    allow_headers=["*"],
+    allow_origins=[
+        "http://localhost:7329",
+        "http://localhost:7330",
+        "http://127.0.0.1:7329",
+    ],
+    allow_credentials=False,
+    allow_methods=["GET", "POST", "PUT", "DELETE"],
+    allow_headers=["Content-Type", "Authorization", "X-API-Key"],
 )
 
 # API 路由
@@ -62,11 +66,17 @@ static_dir = os.path.join(config.BASE_DIR, "static")
 if os.path.exists(static_dir):
     app.mount("/static", StaticFiles(directory=static_dir), name="static")
 
+    # API 路径白名单 — 这些路径不应被 SPA 兜底
+    _API_PATHS = {
+        "api", "docs", "openapi.json", "redoc",
+    }
+
     @app.get("/{full_path:path}")
     async def serve_spa(full_path: str):
         """Vue SPA 路由回退"""
-        # API 路由不走这里
-        if full_path.startswith("api/") or full_path.startswith("docs") or full_path.startswith("openapi.json"):
+        # API/文档路由不走 SPA 兜底
+        first_seg = full_path.split("/")[0] if full_path else ""
+        if first_seg in _API_PATHS:
             return {"detail": "Not found"}
 
         index_path = os.path.join(static_dir, "index.html")