2026-06-07 HTTPS 请求证书校验加固

本次修复通用 HTTPS 请求封装关闭证书校验导致外联请求可能被中间人攻击的风险，重点覆盖插件下载、接口和其它复用 https_get() / https_post() 的 HTTPS 链路。

主要改动：

1. HTTPS 请求禁止降级到 HTTP

• 文件：xiunophp/misc.func.php
• https_get() 和 https_post() 现在只接受 https:// URL，非 HTTPS URL 直接返回错误，不再自动转入 http_get() / http_post()。

1. curl HTTPS 开启证书校验

• 文件：xiunophp/misc.func.php
• CURLOPT_SSL_VERIFYPEER 从关闭改为开启，并保留 CURLOPT_SSL_VERIFYHOST = 2。
• 支持的环境下限制 curl 请求协议和重定向协议为 CURLPROTO_HTTPS，避免 HTTPS 请求被重定向到明文 HTTP。

1. stream HTTPS 开启证书校验

• 文件：xiunophp/misc.func.php
• file_get_contents() 的 HTTPS stream context 增加 verify_peer 和 verify_peer_name，确保证书链和主机名均被校验。

1. 多线程 HTTPS 抓取补齐 TLS 校验

• 文件：xiunophp/misc.func.php
• http_multi_get() 对 HTTPS URL 设置 CURLOPT_SSL_VERIFYPEER、CURLOPT_SSL_VERIFYHOST 和 HTTPS 重定向协议限制。

欢迎大家加入QQ交流群：785017513