首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  raw0xff  ›  全部回复第 3 页 / 共 14 页
回复总数  264
1  2  3  4  5  6  7  8  9  10 ... 14  
283 天前
回复了 gulullu 创建的主题 OpenAI GPT 挂了吗?
ChatGPT 目前 Major Outage ,API 的目前还能用。
哎~ poe 与 plus 间反复跳,最终还是都充了。
331 天前
回复了 Cola98 创建的主题 程序员 nextjs 正确使用方式
对 next.js 一无所知,弱弱的问一下如果我用 next.js 写一个带页面的后端服务给别人用,是不是就相当于把源代码都给了别人?
333 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@caomingjun 对不起,你是对的,标头可以修改,但是返回给浏览器前 cloudflare 会重新改回来。所以网站是否用了 worker 是可以从响应头分辨的。
340 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@0o0O0o0O0o 好像真的无解,即便关键代码写成 wasm 也没啥用。
340 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@r46mht
感谢回答。问题就出在你说的静态网页上,也就是说无法保证用户访问的第一个网页的完整性。如果可以的话,后续任何代码变动都可以被 csp 和 sri 约束。
15 楼给的链接 https://news.ycombinator.com/item?id=39436238 里有讨论到。
340 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@0o0O0o0O0o 服务端应用给每次请求登录时的页面内包含随机值且记录下来,登录时 js 将自己的网页 hash 一并发给服务端,服务端验证 hash 后再进行登录验证。 大佬帮忙看这逻辑有没有漏洞?
340 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@0o0O0o0O0o 感谢大佬,真巧重合度很高,文中说的方式试过一些,CSP SRI IPFS 再叠上一些加密方式的 buff 。但是没有一个完美的解决方案。
341 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@caomingjun worker.js 里可以改 response 中所用东西,试过了。


@0o0O0o0O0o 感谢大佬这么细致,你猜的对,“当自己的 web 应用跑在别人的主机和域名下,如何避免网页被注入”。感觉只能制造注入控制的难度,治标不治本。比如整个随机变量名和随机位置啥的。另外浏览器加载网页 js 后是需要跟服务端程序通信的,我总觉得有办法解决,又想不出办法。
341 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@r46mht 不是,加 tls 的话证书和 key 都是暴露的,无济于事。

为了确保 worker 不注入代码,浏览器收到的是服务端给的完整代码。
CSP 不行,会被直接绕开。
服务端识别请求也不行,worker 可以修改标头。

如果服务端对每次每个用户的登录请求返回不同的内容(比如随机函数名随机变量名随机代码排序等等)使中间人统一作恶有一定难度,不知道这个想法成不成熟有没有用。

在这种带证书的中间人情况下,是不是任何措施都只能增加中间人作恶难度,而不能解决根本问题? 哪位老哥给点建议,不行我就换个思路,定期从外部访问校验网页是否安全。
341 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@caomingjun 标头都可以修改


@icoming
@ETiV
完美中间人形容很贴切。不知道页面嵌入个 wasm 能不能解决问题。或者就换个思路,模拟普通用户访问对网页代码进行验证。
341 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@caomingjun 常规是有标识,但是 worker 可以修改 fetch 的 headers ,可以伪装成普通浏览器用户。
341 天前
回复了 raw0xff 创建的主题 JavaScript cloudflare workers 传入网页时注入脚本的话,是不是服务端设置 CSP 也没办法保证完整性?
@codehz 主机运行的服务端与主机及域名权限拥有者不是一个人。担心主机通过 worker 注入代码,浏览器得到的网页代码被修改,用户操作就不安全。


@ETiV 理论上 worker 能完整的得到响应就能改,貌似无解。不知道服务端是否能分辨出请求是否来自 worker 还是客户端浏览器?
341 天前
回复了 raw0xff 创建的主题 程序员 让 AI 给个查询钱包的例子,例子中地址竟然真实存在。
@pipaseqin 试了下果真找到个有 1trx 的,感觉像在捡硬币 哈哈
342 天前
回复了 D7S 创建的主题 宽带症候群 能用手机连到家里 ipv6(openwrt)吗?
网站测试是你能访问 v6 ,你要的是自己本地主机可以通过 v6 被外网访问,是我理解的意思吗?先跳过路由器直连光猫整个 nginx 或者 nc -6 -l 9999 做个服务看看能不能访问。
342 天前
回复了 D7S 创建的主题 宽带症候群 能用手机连到家里 ipv6(openwrt)吗?
先光猫直连试试,https://test-ipv6.com/ ,可以的话就排除光猫的问题。
343 天前
回复了 fansi 创建的主题 分享创造 开发了一个 USDT 交易查询网站,可查询 USDT 余额、TRX 余额
请教老哥后端用的什么语言?用什么 api 查余额的?
355 天前
回复了 InkAndBanner 创建的主题 分享发现 受太阳活动影响,地球磁暴预警
这几天有什么要注意的吗?
362 天前
回复了 zhousir5071 创建的主题 生活 分享一下:我是如何控制孩子看电视的
小孩子好奇心很强,成长也快,很可能会去找根网线跳过路由器直连光猫。
2024-03-01 01:10:28 +08:00
回复了 suriv520 创建的主题 程序员 请大家帮忙测试一下国产安卓机的默认浏览器或者 Chrome 是否支持 WebAuthn 认证
@k332159915 可能与蓝牙有关,pc 蓝牙是否与手机蓝牙配对?
2024-01-25 00:20:22 +08:00
回复了 raw0xff 创建的主题 程序员 如果只用 WebAuthn(Passkey)做网站唯一登录凭证是否靠谱?会有哪些安全风险和弊端?
@jocover
1  2  3  4  5  6  7  8  9  10 ... 14  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2672 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 24ms · UTC 11:23 · PVG 19:23 · LAX 04:23 · JFK 07:23
Developed with CodeLauncher
♥ Do have faith in what you're doing.