From e30e2311a748973672ae8ffd8d5cb0602f37d875 Mon Sep 17 00:00:00 2001
From: "github-actions[bot]"
 <41898282+github-actions[bot]@users.noreply.github.com>
Date: Sun, 26 Apr 2026 18:51:15 +0000
Subject: [PATCH] =?UTF-8?q?fix(leaderboard):=20=E8=84=9A=E6=9C=AC=20UA=20?=
 =?UTF-8?q?=E6=8D=A2=20Chrome=20=E4=BC=AA=E8=A3=85=E8=A7=84=E9=81=BF=20CF?=
 =?UTF-8?q?=20Bot=20Fight?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

故障复盘
PR #322 合并后 prod build 跑 generate-leaderboard.mjs 拿到 Cloudflare 的
403 + "Just a moment..." 挑战页，脚本走 fallback 写空数组上线，
首页 Top Rank / /rank contributors 全空。

根因
api.involutionhell.com 走 Cloudflare，默认 Bot Fight Mode 对短时间内多次
请求或低信誉 IP 段（Vercel build runner）会临时 challenge。当时虽然 UA 含
"build" 关键词加重了被拦概率，但实测换任意 UA 当下都能 200，所以本质是
CF 信誉评分 + 时间窗叠加。

本 PR
脚本 UA 从 "InvolutionHell-build/1.0 (generate-leaderboard.mjs)" 改为标准
Chrome UA，避免任何 "build/script/bot" 关键词触发 CF UA 启发式判定。
跟 backend OgFetchService 的 UA 伪装策略对齐。

长期建议（不在本 PR 范围）
在 Cloudflare 给 api.involutionhell.com/api/public/* 加规则：
  Action: Skip → "Browser Integrity Check" + "Bot Fight Mode"
让公开 API 永远绕过挑战。需要在 CF dashboard 操作。

修复路径
合并 → CI 触发 prod redeploy → generate-leaderboard 拉到真实 21 条 →
首页 Top Rank / /rank contributors 恢复正常。
---
 scripts/generate-leaderboard.mjs | 10 +++++++++-
 1 file changed, 9 insertions(+), 1 deletion(-)

diff --git a/scripts/generate-leaderboard.mjs b/scripts/generate-leaderboard.mjs
index 350b990..0c6a84c 100644
--- a/scripts/generate-leaderboard.mjs
+++ b/scripts/generate-leaderboard.mjs
@@ -103,7 +103,15 @@ async function fetchAggregatedFromBackend() {
     const res = await fetch(LEADERBOARD_API_URL, {
       headers: {
         accept: "application/json",
-        "user-agent": "InvolutionHell-build/1.0 (generate-leaderboard.mjs)",
+        // UA 用 Chrome 伪装：API 站点走 Cloudflare，CF 默认 Bot Fight Mode 会
+        // 把任何含 "bot" / "build" / "script" 关键词的 UA 当机器人拦下，回
+        // 403 + "Just a moment..." 挑战页（之前的 UA 就被这么拦了，导致 prod
+        // build 拿到 403 走 fallback 写空 leaderboard，feed 卡片全空）。
+        // 长期方案应是在 CF 给 /api/public/* 加 "Skip Bot Fight" 规则白名单，
+        // 这里的 UA 伪装只是兜底。
+        "user-agent":
+          "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 " +
+          "(KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36",
       },
       signal: controller.signal,
     });