【巡检建议】微博认证闪变+社区发帖入口缺失+CSRF表单问题

## 本轮巡检（2026-05-30 22:25 AST）新发现 ### 【P2】问题1：微博广场认证状态闪变（Session读取不一致） **现状：** 向 /weibo 发送3次连续请求（相同session cookie），其中1次返回登录页（显示登录/注册按钮），另外2次返回认证后的微博广场。认证状态并非100%稳定。 **影响：** 用户可能在正常使用中突然看到登录页面，需要重新登录才能继续，严重影响体验。 **复现步骤：** 1. 登录后获取有效session cookie 2. 连续多次GET /weibo（相同cookie） 3. 观察到~1/3概率返回未认证页面 **建议：** 检查session中间件的反序列化逻辑。建议在检测到session读取失败时，尝试刷新session而非直接弹回登录页。同时在中间件中加入日志记录session反序列化失败次数以便定位。 ### 【P3】问题2：社区各板块缺少发帖导航入口 **现状：** 社区7个板块页面均有"发布主题"后端路由（/community/create_thread/{board_id} 返回200），但板块列表页面无任何可点击的"发帖"按钮。用户必须手动在地址栏输入URL才能发帖。 **建议：** 在板块列表页面上方添加"发布主题"按钮，指向 /community/create_thread/{board_id}。模板已在但未在页面可见区域渲染。 ### 【P3】问题3：全局POST表单缺少CSRF隐藏字段 **现状：** 微博发布表单（/weibo/post）和社区发帖表单（/community/create_thread/*）均无隐藏的 _csrf_token input。当前仅依赖cookie中的 _csrf_token 进行验证。但表单内嵌CSRF token是行业最佳实践（OWASP推荐双提交Cookie模式的双保险）。 **建议：** 所有POST表单添加 <input type="hidden" name="_csrf_token" value="{{csrf_token}}">。当前只有/login表单有这个字段。 --- ### 站点健康度快照 - 首页：✅ 200 (870ms, 29.7KB) - 微博广场：⚠️ 认证闪变（P2） - 社区首页：✅ 200 (859ms, 34.3KB) - 晴晴游戏：✅ 200 (登录后可访问) - 甜甜游戏：✅ 200 (登录后可访问) - 新手入门：✅ 200 (561ms, 23.5KB) 含101个步骤指引 - Prompt调试台 /prompt：❌ 404（路径不存在） - 开发者入口 /developer：❌ 404 - 个人主页 /profile：❌ 404 - /about /faq /help /terms /privacy：全部 404 - favicon.ico：❌ 404 - sitemap.xml：❌ 404 - Service Worker：❌ 无 PWA支持