这是一个创建于 367 天前的主题,其中的信息可能已经有所发展或是发生改变。
主要是方便个人开发者,不用多写些不必要的接口了,而且可以随时修改变量值,还是挺方便的。最为一个小项目功能还是闭环了(添加修改删除都有了),完完整整简简单单的多好,我个人维护起来也方便。
我目前使用的场景,友情链接呀,网站备案地址呀,啥的啥的都可以。
这次更新了 UI ,以及操作体验,比之前要好一些了,以后再慢慢更新吧。
 |
1
Jony4Fun 2024-01-12 17:11:36 +08:00  1
感觉 UI 还挺好看的,而且这个 idea 挺有趣了,支持支持!
|
 |
2
Rache1 2024-01-12 17:30:28 +08:00 1
好家伙。。你这网站要是被攻陷了,这整个就是个 XSS 乐园啊
|
 |
4
Belmode 2024-01-12 17:54:19 +08:00
已经被打穿了?这么快!
|
 |
5
wuzhanggui OP @Rache1 支持用 json 的方式引入总不会 xss 攻击了吧,而且我对变量值做了处理,只能存可以 JSON 的数据,所以他要攻击到我的服务器里才行,而且支持用阿里云的 oss 存,他总不能攻击到阿里云上吧
|
 |
6
powinds 2024-01-12 18:00:11 +08:00 1
好用,支持!
|
|
7
wuzhanggui OP https://var.dumogu.top/var/info/EpHyQ2t6o
还是算错了一步哇,本来我是添加的时候做了处理的了,因为考虑到这是用户自己添加自己用的,如果用户有在自己网站上引用此变量的权力那这就是自己造成的 之后会处理这种,限制变量值只能是可 JSON 化的数据 |
 |
8
codingax 2024-01-12 18:03:59 +08:00
打不开哇 有啥限制吗?
|
|
9
wuzhanggui OP @codingax 没啥限制呀,你把翻墙的关了试试?
|
|
10
wuzhanggui OP @Belmode 还得是你们呐,所以说还是得有人来试试才能找出更多的问题
|
|
11
Rache1 2024-01-12 18:21:04 +08:00 1
@wuzhanggui #5 这更多的取决于使用方了,举个例子,如果使用方拿到数据后直接 innerHTML ,还是存在 XSS 风险的。
虽说这是使用方的问题,但是对于怀有恶意的人来说,你这平台就是一个大肥肉,极具攻击价值。原本只需要挨个攻击才能 XSS 的,现在只需要攻击你这一个站,篡改你的数据,就可以影响的 N 个站了,对于使用方来说,原本只需要保证自己第一方是安全的就好了,现在还有确保第三方不掉链子。 其实 CDN 站也是同理,只是 CDN 引入的基本都不会变,且可以使用 integrity 验证,而你这个的设计之初就不能用 integrity 了。 |
 |
12
xuAN111 2024-01-12 18:25:46 +08:00 1
有才。
|
 |
13
stormer 2024-01-12 19:38:43 +08:00 1
小心被黑产拿去做 肉鸡上线地址更新
|
 |
14
Features 2024-01-12 19:42:23 +08:00
OP 赶快检查一下 CDN 是不是按量付费的
等下无聊者给你打几千块费用出来就玩大了 |
 |
15
GenericT 2024-01-12 20:17:21 +08:00 via Android
还备案了,乐死,你就看轮子啥时候来吧
|
 |
16
crazyTanuki 2024-01-13 11:32:06 +08:00
供应链攻击?
|
|
17
wuzhanggui OP @GenericT 啥轮子,我网站多,备个案很正常吧
|
|
18
wuzhanggui OP @Rache1 感谢,学到了一个新东西,我已经想到了一个完美的问题了,我 js 固定,而且生成 hash 值,这个 js 里去读取.json 的数据,这样就做到了数据变化了但是.js 是不变的,完美解决这个 xss 的问题,数据被攻击了完全没啥影响,因为数据方面的问题用户完全可以在引用后自行判断。
|
 |
19
devliu1 362 天前
怎么说呢,这个需求很古怪
|
 |
20
KgM4gLtF0shViDH3 362 天前
感觉适合做后门,防止别人不给钱,通过请求这个变量判断要不要关闭服务。
|
|
21
wuzhanggui OP @bestkayle 你这想法有点危险呐😂
|
|
22
wuzhanggui OP @devliu1 因为我个人站点多,接口服务都是每个都是单独写的,然后我经常和别人换友情链接,这个需求就来了😂
|
Select Language