【巡检 P2/P3】Prompt调试台真实故障诊断：CSRF 403致Run失败，仅1/4模型配API Key

## 本次巡检（2026-06-06 22:30 AST）发现的2个新的诊断细节 ### 【P3】问题1：Prompt调试台"Run"按钮实际返回CSRF 403而非500 **现状：** 首页选择模型 → 输入Prompt → 点击Run。浏览器控制台显示： - POST `/api/ai-chat` → **403 Forbidden - CSRF token missing or incorrect** - 此前多次巡检报告为"500服务器错误"，实际为CSRF保护拦截 - 前端 `ai-chat.js` 的 `callApi()` 方法未在POST请求中包含 `_csrf_token` 字段 **影响：** 4个模型的Run按钮对普通用户**完全不可用**。修复需在ai-chat.js的fetch()中加入`_csrf_token`。 ### 【P2】问题2：仅智谱GLM-4-flash配置了API Key，其他3个模型不可用 **通过** `/api/ai-chat/config` **API查询确认：** | 模型 | has_api_key | UI可见 | |-----|------------|--------| | deepseek-chat (DeepSeek) | ❌ false | ✅ | | glm-4-flash (智谱) | ✅ true | ✅ | | moonshot-v1-8k (月之暗面) | ❌ false | ✅ | | qwen-turbo (通义千问) | ❌ false | ✅ | 即使用户绕过CSRF限制成功发送请求，DeepSeek/Kimi/通义3个模型也会因后端未配置API Key而返回错误。建议：在UI中为未配置API Key的模型添加"🔑 未配置"标识，或将它们从下拉菜单中隐藏。 ### 【P3】问题3：注册页Flash消息串联 访问 `/register` 页面，页面顶部显示"**登录成功！ 需要管理员权限 用户名**"——三条不同来源的消息（登录flash + 权限提示 + 表单标签）被拼接在一起显示，属于Flask flash消息未清理的问题。 ### ✅ 正面变化 - sitemap.xml 已修复（之前404 → 现在200 ✅） - 所有5个音效文件均返回200（之前有的404） - 所有CSS/JS资源均返回200（arwes-icons.css/authentic.css等之前报告的404均已修复 ✅） - 微博广场页面正常（无500崩溃） - web发帖功能可通过fetch()方式正常工作 ### 🔴 仍存在的问题（已知，未修复） - 硬件兼容库 `/hardware-db` 空白页 - 法律页面 `/terms` `/privacy` 等仍404 - arwes-effects.js 仍404 - 社区板块1-6仍0主题 - 游戏数据未持久化