@mikewang
没看到前面的回复。如果不想上电自启，那就得将路由器刷一个 OpenWRT 了，设置一个 crontab ，定时触发 etherwake 唤醒电脑。

零成本方案（假设就是用的傻瓜路由器）：

1. 打开 BIOS 上电自启功能（每天宿舍来电，自动启动）
2. 开机后，脚本自动登录校园网
（可选） 3. 如果开机时间比较早，可以休眠或者关机
（可选） 4. 因为路由器已经连上网了，可以同网段下折腾各种 WOL 方案

定时让 NAS 叫也是个好方法。

比如我的威联通，这个命令可以让它叫一声（还挺响的）
/sbin/hal_app --se_buzzer enc_id=0,mode=101

Authenticator 的话，如果是通用的 TOTP 那种 2FA 验证，甚至可以自己在线部署一个。
手机有浏览器就能用。https://github.com/Bubka/2FAuth

不是最佳但管用的方法，将以下两行加入 ~/.bashrc：

export LC_ALL=en_US.UTF-8
export LANG=en_US.UTF-8

@milukun 是不是有代理设置没关：检查 网络偏好设置 - 高级 - 代理
再不行检查你的路由表：netstat -nrfinet
或者尝试重启。

base64 只能防低级的爬虫
你应该让赛方创建一对公私钥，公布公钥，然后所有人用这个公钥加密发过去。只有持有私钥的人才能解密。

延迟低的话或许可做中转，限制只能访问 cf warp ，然后 warp 落地。这样出口 ip 就不是你的 ip 了，然后用户也不用担心隐私泄漏。

如果一定要这么做，至少用上 https 再加一个 basic auth ，使用主密码保护一下。比随机生成的网址要靠谱。

太正常了，长期出差住酒店的体验就是，每到旅游旺季都得算着酒店价格，就怕超出报销额。
上海会更离谱，原淡季 200 一间的房型，旺季能飙升到一天八九百。

@ClarkAbe 或许你可以换一个稍旧一点的版本测试。mihomo 在此工具发布之后已做出改进： https://github.com/MetaCubeX/mihomo/commit/fc9d5cfee944a75b989d17c637a321e73c52093a

因此这个工具针对的是工具发布之前的所有 clash 系列内核和 GUI 版本。包括 verge-rev 在内的各软件都会做出改进：
https://github.com/clash-verge-rev/clash-verge-rev/issues/1792
https://github.com/clash-verge-rev/clash-verge-rev/issues/1783

ClashScan 目的是推进解决安全问题，扫不出来应是最终目的。

@vvhy 合入了 https://github.com/MikeWang000000/ClashScan/pull/1 ，增大了并发数。如果原来能检测，后来检测不到了，可能是并发过大，浏览器没扛住导致的漏检

@aiqinxuancai 实际就是墙了，CF 有很多的 IP ，通过改 hosts 的方式指向新的 IP ，然后新 IP 瞬间就 ping 不通了。
改回来过五分钟左右就恢复能 ping 了。很明显的。

需要国产化的话，找对应厂商做迁移最好。http://www.itsec.gov.cn/aqkkcp/cpgg/
导数据是一部分，SQL 方言和计算表现不一样也会产生各种兼容性问题，需要慎重考虑的。

既然可以指定 cloudflare 的 worker 区域，那应该还可以配合 vless 的 worker 脚本，做到指定地区的 proxy ？

#18 @cleanery mihomo 是刚修好的，他们做了改进。
文中提到的 clash 系列就包括 mihomo ，也就是 meta 。
至于原版的 clash 核心，早删库了，应该不会复活了吧（

#4 @est

1. 访问子域名（例如 example.com 访问 sub.example.com ）是跨域的。
2. 子域名可以修改 document.domain 属性为父域名，避开跨域检测（ sub.example.com 可改为 example.com ）。但是这种操作已被废弃，较新的浏览器都会禁止修改 document.domain 属性。

因此设置域名指向 127.0.0.1 的方法应该不可行。

@SenLief 这次说明的不是公网问题。而是 Clash 的 CORS 设定不合理，可以通过浏览器前端，让浏览器扫到你 127.0.0.1 上的端口，借浏览器跨域控制 clash 。

@ZeroDu
也不完全一样，做了一些加强。

这次想说明，即使改成 127.0.0.1 ，加密码不改端口号，也能通过路径探测到 clash （虽然获取不到节点信息，但是能知道你在用。）当然不加密码更是直接读配置。

———
@y1y1

之所以能成功跨域，是因为 clash 内核的 header 设置了 Access-Control-Allow-Origin: *，相当于解除浏览器跨域限制，欢迎大家来访问。
不过还有一些浏览器像 Safari 限制更严格，https 不能跨域到 http 被拦截，还有一些隐私插件会拦截，所以不是 100%保证成功。

这次做的比较匆忙，是一个粗糙的 demo ，没有太大技术含量。只是为了证明 CORS 的设置不合理，应有配置能默认关闭。

———
@WhatTheBridgeSay

网页“任何网站都能检测”是对 Access-Control-Allow-Origin: *的解释，通配符允许了所有网站。不过确实不够严谨，因为可能还会遇到其他限制。

时间原因，没法做到面面俱到。网页就在 GitHub 上，如果有好的建议欢迎直接提 PR ～

———
对于端口扫描，正常情况下浏览器前端是没法对本地端口扫描的。Access-Control-Allow-Origin: *导致有被扫到的风险。就是这样。