V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
wuzhanggui
V2EX  ›  程序员

随时操作 JS 变量?毒蘑菇变量更新了,快来瞅瞅吧。🥰🥰

  •  
  •   wuzhanggui · 345 天前 · 2115 次点击
    这是一个创建于 345 天前的主题,其中的信息可能已经有所发展或是发生改变。

    毒蘑菇-变量地址

    主要是方便个人开发者,不用多写些不必要的接口了,而且可以随时修改变量值,还是挺方便的。最为一个小项目功能还是闭环了(添加修改删除都有了),完完整整简简单单的多好,我个人维护起来也方便。

    我目前使用的场景,友情链接呀,网站备案地址呀,啥的啥的都可以。

    这次更新了 UI ,以及操作体验,比之前要好一些了,以后再慢慢更新吧。

    22 条回复    2024-01-17 17:38:19 +08:00
    Jony4Fun
        1
    Jony4Fun  
       345 天前   ❤️ 1
    感觉 UI 还挺好看的,而且这个 idea 挺有趣了,支持支持!
    Rache1
        2
    Rache1  
       345 天前   ❤️ 1
    好家伙。。你这网站要是被攻陷了,这整个就是个 XSS 乐园啊
    billccn
        3
    billccn  
       345 天前
    非常赞同 @Rache1

    建议用 gpg 签名(或类似格式)然后客户端写死公钥验证。
    Belmode
        4
    Belmode  
       345 天前
    已经被打穿了?这么快!
    wuzhanggui
        5
    wuzhanggui  
    OP
       345 天前
    @Rache1 支持用 json 的方式引入总不会 xss 攻击了吧,而且我对变量值做了处理,只能存可以 JSON 的数据,所以他要攻击到我的服务器里才行,而且支持用阿里云的 oss 存,他总不能攻击到阿里云上吧
    powinds
        6
    powinds  
       345 天前   ❤️ 1
    好用,支持!
    wuzhanggui
        7
    wuzhanggui  
    OP
       345 天前
    https://var.dumogu.top/var/info/EpHyQ2t6o
    还是算错了一步哇,本来我是添加的时候做了处理的了,因为考虑到这是用户自己添加自己用的,如果用户有在自己网站上引用此变量的权力那这就是自己造成的
    之后会处理这种,限制变量值只能是可 JSON 化的数据
    codingax
        8
    codingax  
       345 天前
    打不开哇 有啥限制吗?
    wuzhanggui
        9
    wuzhanggui  
    OP
       345 天前
    @codingax 没啥限制呀,你把翻墙的关了试试?
    wuzhanggui
        10
    wuzhanggui  
    OP
       345 天前
    @Belmode 还得是你们呐,所以说还是得有人来试试才能找出更多的问题
    Rache1
        11
    Rache1  
       345 天前   ❤️ 1
    @wuzhanggui #5 这更多的取决于使用方了,举个例子,如果使用方拿到数据后直接 innerHTML ,还是存在 XSS 风险的。

    虽说这是使用方的问题,但是对于怀有恶意的人来说,你这平台就是一个大肥肉,极具攻击价值。原本只需要挨个攻击才能 XSS 的,现在只需要攻击你这一个站,篡改你的数据,就可以影响的 N 个站了,对于使用方来说,原本只需要保证自己第一方是安全的就好了,现在还有确保第三方不掉链子。

    其实 CDN 站也是同理,只是 CDN 引入的基本都不会变,且可以使用 integrity 验证,而你这个的设计之初就不能用 integrity 了。
    xuAN111
        12
    xuAN111  
       345 天前   ❤️ 1
    有才。
    stormer
        13
    stormer  
       345 天前   ❤️ 1
    小心被黑产拿去做 肉鸡上线地址更新
    Features
        14
    Features  
       345 天前
    OP 赶快检查一下 CDN 是不是按量付费的
    等下无聊者给你打几千块费用出来就玩大了
    GenericT
        15
    GenericT  
       344 天前 via Android
    还备案了,乐死,你就看轮子啥时候来吧
    crazyTanuki
        16
    crazyTanuki  
       344 天前
    供应链攻击?
    wuzhanggui
        17
    wuzhanggui  
    OP
       344 天前
    @GenericT 啥轮子,我网站多,备个案很正常吧
    wuzhanggui
        18
    wuzhanggui  
    OP
       344 天前
    @Rache1 感谢,学到了一个新东西,我已经想到了一个完美的问题了,我 js 固定,而且生成 hash 值,这个 js 里去读取.json 的数据,这样就做到了数据变化了但是.js 是不变的,完美解决这个 xss 的问题,数据被攻击了完全没啥影响,因为数据方面的问题用户完全可以在引用后自行判断。
    devliu1
        19
    devliu1  
       341 天前
    怎么说呢,这个需求很古怪
    KgM4gLtF0shViDH3
        20
    KgM4gLtF0shViDH3  
       340 天前
    感觉适合做后门,防止别人不给钱,通过请求这个变量判断要不要关闭服务。
    wuzhanggui
        21
    wuzhanggui  
    OP
       340 天前
    @bestkayle 你这想法有点危险呐😂
    wuzhanggui
        22
    wuzhanggui  
    OP
       340 天前
    @devliu1 因为我个人站点多,接口服务都是每个都是单独写的,然后我经常和别人换友情链接,这个需求就来了😂
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2819 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:07 · PVG 20:07 · LAX 04:07 · JFK 07:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.