@me1onsoda #174 @brader #181

防止资源注入主要是 CSP （内容安全策略）吧。写插件或者 user script 的应该遇到过。简单说是网站可以声明自己页面内允许的外部资源域名，不在域名内的会上报或者拒绝加载。
至于跨域的安全体现在哪，这个还真没仔细考虑过。刚才找 GPT 问了一下，沿用 #181 的例子，前端 a.com ，后端 b.com ，恶意网站 xx.com 。拦截的是从外部前端发到自己后端的情况

异常情况：假如没有 CORS 策略，且 b.com 的 cookie 设置了 samesite: None 。那么在 xx.com 就可以构造一个 fetch('https://b.com/someapi', {credentials: 'include'})，进而请求到 b.com 的数据。
而如果有 CORS 策略，在 options 预检请求时，b.com 的后端检测到非同源可以返回拒绝；或者返回固定的同源策略，比如 Access-Control-Allow-Origin: https://a.com ，浏览器也会拒绝 xx.com 的请求。

如果 a.com 请求 b.com 的话，因为 b.com 的 CORS 头说明了允许 a.com 、使用 XXX, YYY 方式请求，允许的 headers 是哪些……，如果 a.com 按照规则来，浏览器就不会拦截。

---

另一种情况，假如 a.com 被恶意注入了发往 xx.com 的资源。这个时候 a.com 请求 xx.com 是靠 xx.com 的 CORS 判定的，拦不住。用到的应该是 CSP 。例如 Content-Security-Policy: connect-src 'self' https://b.com;

@raviscioniemeche #123 前段时间做一个东西因为 emoji 表现问题改了好几次实现。然后最近闲下来，深入了解了一下 unicode 、emoji 与 UTF-X ，发现这玩意是个大坑。

而且更坑的一点是，很多平台特性实现不完全，以至于本来我想在笔记里举个例子，结果举出来的展现不出来😂

@caomingjun +1 ，我一般只有在 ssh 的时候用（例如拉东西、装依赖等，能保证本地和远程有一条隧道），然后 -R7890:127.0.0.1:7890 把本地的 7890 转发到远程配个环境变量就行。没有在远程装过

如果硬性需要代理，要么扔境外服务器，要么扔本地 pve 跑

@zsh2517 浏览器隐私模式 / 其他 profile / guest ，或者切换浏览器试一下。如果确定是浏览器插件的问题，可以试试这个辅助定位问题插件（二分定位） https://chromewebstore.google.com/detail/%E4%BA%8C%E5%88%86%E6%B3%95%E6%8E%92%E6%9F%A5%E6%89%A9%E5%B1%95%E7%A8%8B%E5%BA%8F/pokongmehfnlmmkgppngbmagkpamckgi?hl=zh-CN

网页版昨天才试过，都能粘贴。不过一般如果不止一个网站突然出现了相同问题，是不是更新浏览器/装了什么插件/插件更新导致的🤔

比如我遇到过的几次，SuperCopy 破解复制，会导致个别网页交互有问题；『为什么你们就是不能加个空格呢』强行加空格会影响一些设计不好的网站的内容溢出； vimiumC 会与很多网站交互冲突； AdGuard 拦错东西； Allow CORS 配错导致请求失败等等

如果只是给每一本书进行分类，是不是可以拆分一下任务？走 API ，每次提问几十本，然后并发一下

我现在在用一个 docker-compose 版的 LNMP 😂 最外层套个 caddy 反代解决证书问题

各种软件和库的官方文档算不算，难度感觉不算很高，而且可以正大光明地学习（摸鱼）

同 #8 ，但是还是不太能理解不需要字幕的人的想法😂我好像从来没有过这个需求

（忽略字母大小写问题。没有仔细检查）

接上文。比如拿 Debian 举例


光不同的桌面环境就有接近十个版本了。如果要定制的话会更多。而且一个人的喜好未必会被另一个人所接受。

比如我是我身边唯一一个把 Jetbrains IDE 快捷键改成 Vscode Keymap 的，其他混用的人都是反过来把 VSCode 改成 Intellij IDEA Keymap 。

---

另外一条路建议直接打 docker 镜像。GUI 只作为桌面，只管桌面的事情。

如果环境要求简单，vscode 推广过 Dev Container （我简单用过几次，感觉基本打开项目、选好镜像，网络畅通的情况下等一会就自动配好环境了）

环境复杂的话找已有的基础镜像自己 DIY ，放行一个 ssh 或者打包进去一个 code-server 。同样是一次配置，随时能用的方案。

“预装了大部分的环境和一些软件”，很多时候这个需求都很难满足。

对于绝大多数 Linux 的发行版来说，稳定版（尤其是 LTS ）是锁定了软件大版本的，过一段时间环境就比较老了；而滚动更新的版本，通常当软件发布了某个版本一段时间之后就会更新（如 archlinux ），谈不上锁定版本的问题。这两种情况都不适合开发（一方面软件包可能过新/过旧，另一方面，这两种都未必匹配的上当前项目在用的版本）

假设有人维护一个“预装了大部分环境和一些软件”的系统，不说别的，就拿 LNMP 举例，nginx 要哪个版本？ mysql 5.7 还是 8 ？ php 5 、7 还是 8 ？还是装一堆让用户选？（这个时候又成了“安装后需要配置”）。如果这不够多，那么是否要打包一个 node 环境？ node 18, 20, 22 选哪个？ python 3.8, 3.9, 3.10, 3.11, 3.12 选哪个？组合的数量级是指数增长的

如果想裸系统使用，那么就自己配好环境，个人建议采用专门的版本管理工具，如 pyenv, nvm, sdkman 等，而非系统的包管理工具安装开发环境。然后打个镜像或者备份；就算不想备份，至少写个安装脚本。一次辛苦之后后面就会很省事

有方案了 @我一下，我也有这个问题。

习惯一样，备份的时候通常直接全盘备份。而且格式还很多（ zip, zip+密码, gho, vhd, vhdx, img/raw 等等）。想整理但是每次都因为难度太高放弃了。
另外就是有很多比如 新建文件 1 ，新建文件 2 或者 a.xxx, b.xxx 这种无规律的文件命名

说句题外话，我第三次看到这个帖子，才反应过来 『伟途亦可思』 是 『伟（ V ）途（ two, 2 ）亦（ E ）可思（ X ）』的含义。之前想了好久为啥叫这个名字

考虑一下 ncdu ？相较于 du 来说，可以自由切换目录不用每次重新跑。

直接运行的情况下，好像支持删除文件并重新计算；
或者可以 `ncdu -o x.json` 导出以及 `ncdu -f x.json` 导入扫描结果。

@ninvfeng2020 #25 我邮箱用的是我自己的域名，[email protected] ，还是被判定成了临时邮箱😂

#20 #28 ，感觉意思也是被当成了临时邮箱

---

域名判定我觉得这么严没必要，兑换码不多，可以人工看一下明显薅羊毛的邮箱，然后删掉或者封禁用户/后缀。

尤其是对于 V2EX 这种技术站，用“非常用后缀”的人可能比较多（比如自己的域名、上面提到的 protonmail 等等，当然也有处于比如安全/隐私等考虑不同站点加不同前缀的，这种也不适合一概当成薅羊毛）

另外这种推送场景，拿临时邮箱注册感觉意义也不大（除了心理有问题，故意用掉兑换码的那种）

试了一下邮件推送。能用，不过确实像楼上说的，邮件推送很容易实现（个人使用场景下，薅各家邮件推送免费额度就够用了）😂短信没试，和楼上一样，域名邮箱被『临时邮箱暂不支持兑换』拦住了。

提两个意见

1. 通知邮箱能否多绑定一些？发送时可选单独发送或者全发（扣多次额度）
2. 短信如果只支持验证码类型，是不是可以考虑支持一下验证码数字？这样对于自用来说，有些场景就不需要登录网站查看了，只看数字也能知道大概。

FE Helper + JSONHero 。之前想自己写但是太懒了