主要是方便个人开发者,不用多写些不必要的接口了,而且可以随时修改变量值,还是挺方便的。最为一个小项目功能还是闭环了(添加修改删除都有了),完完整整简简单单的多好,我个人维护起来也方便。
我目前使用的场景,友情链接呀,网站备案地址呀,啥的啥的都可以。
这次更新了 UI ,以及操作体验,比之前要好一些了,以后再慢慢更新吧。
请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 854 days ago, the information mentioned may be changed or developed.
 | 1 Jony4Fun Jan 12, 2024  1 感觉 UI 还挺好看的,而且这个 idea 挺有趣了,支持支持! |
 | 2 Rache1 Jan 12, 2024 1 好家伙。。你这网站要是被攻陷了,这整个就是个 XSS 乐园啊 |
 | 4 Belmode Jan 12, 2024 已经被打穿了?这么快! |
 | 5 wuzhanggui OP @Rache1 支持用 json 的方式引入总不会 xss 攻击了吧,而且我对变量值做了处理,只能存可以 JSON 的数据,所以他要攻击到我的服务器里才行,而且支持用阿里云的 oss 存,他总不能攻击到阿里云上吧 |
 | 6 powinds Jan 12, 2024 1 好用,支持! |
| 7 wuzhanggui OP https://var.dumogu.top/var/info/EpHyQ2t6o 还是算错了一步哇,本来我是添加的时候做了处理的了,因为考虑到这是用户自己添加自己用的,如果用户有在自己网站上引用此变量的权力那这就是自己造成的 之后会处理这种,限制变量值只能是可 JSON 化的数据 |
 | 8 codingax Jan 12, 2024 打不开哇 有啥限制吗? |
| 9 wuzhanggui OP @codingax 没啥限制呀,你把翻墙的关了试试? |
| 10 wuzhanggui OP @Belmode 还得是你们呐,所以说还是得有人来试试才能找出更多的问题 |
| 11 Rache1 Jan 12, 2024 1 @wuzhanggui #5 这更多的取决于使用方了,举个例子,如果使用方拿到数据后直接 innerHTML ,还是存在 XSS 风险的。 虽说这是使用方的问题,但是对于怀有恶意的人来说,你这平台就是一个大肥肉,极具攻击价值。原本只需要挨个攻击才能 XSS 的,现在只需要攻击你这一个站,篡改你的数据,就可以影响的 N 个站了,对于使用方来说,原本只需要保证自己第一方是安全的就好了,现在还有确保第三方不掉链子。 其实 CDN 站也是同理,只是 CDN 引入的基本都不会变,且可以使用 integrity 验证,而你这个的设计之初就不能用 integrity 了。 |
 | 12 qiqi669 Jan 12, 2024 1 有才。 |
 | 13 stormer Jan 12, 2024 1 小心被黑产拿去做 肉鸡上线地址更新 |
 | 14 Features Jan 12, 2024 OP 赶快检查一下 CDN 是不是按量付费的 等下无聊者给你打几千块费用出来就玩大了 |
 | 15 GenericT Jan 12, 2024 via Android 还备案了,乐死,你就看轮子啥时候来吧 |
 | 16 crazyTanuki Jan 13, 2024 供应链攻击? |
| 17 wuzhanggui OP @GenericT 啥轮子,我网站多,备个案很正常吧 |
| 18 wuzhanggui OP @Rache1 感谢,学到了一个新东西,我已经想到了一个完美的问题了,我 js 固定,而且生成 hash 值,这个 js 里去读取.json 的数据,这样就做到了数据变化了但是.js 是不变的,完美解决这个 xss 的问题,数据被攻击了完全没啥影响,因为数据方面的问题用户完全可以在引用后自行判断。 |
 | 19 devliu1 Jan 16, 2024 怎么说呢,这个需求很古怪 |
 | 20 KgM4gLtF0shViDH3 Jan 17, 2024 感觉适合做后门,防止别人不给钱,通过请求这个变量判断要不要关闭服务。 |
| 21 wuzhanggui OP @bestkayle 你这想法有点危险呐 |
| 22 wuzhanggui OP @devliu1 因为我个人站点多,接口服务都是每个都是单独写的,然后我经常和别人换友情链接,这个需求就来了 |
Select Language