页面加个认证功能吧

[EvilAnne]

不然一群受害者搭建在云上端口对任何人开放，导致API KEY泄露被人利用。

首先，我绝对不会拿别人的KEY跑东西！～～～

[edwardzcn-decade]

The configuration of the API keys and pwd to db becomes exposed as soon as you open the homepage… And the docker image only uses the default port 5000 and does not support changing it (you would need to manually modify the image and its internal configuration)...

[DoiiarX]

我也反馈过类似情况。目前本项目不适用任何公网部署。fofa等全网测绘工具很容易发起进攻。

@dosu

[dosubot[bot]]

确实，目前 BettaFish 项目存在严重的安全隐患，不适合公网部署。API KEY 和数据库密码会在没有任何认证的情况下明文传输到前端，且默认端口 5000 暴露，容易被 FOFA 等测绘工具扫描和攻击。项目本身没有内置认证机制或完善的安全配置，维护者也明确建议不要直接对外开放服务 相关讨论。

如果有公网部署需求，建议务必加上反向代理（如 Nginx）并启用认证、限制访问 IP、配置防火墙或使用 VPN 隔离，避免敏感信息泄露和被恶意利用。同时可以关注 API KEY 前端脱敏展示的建议 相关建议，但这些都只是缓解措施，根本上还是建议只在内网或受控环境下使用。

To reply, just mention @dosu.

---

^{How did I do? Good | Irrelevant | Incorrect | Verbose | Hallucination | Report 🐛 | Other}