zsh2517 最近的时间轴更新 zsh2517 最近的时间轴更新 |
zsh2517V2EX 第 505654 号会员,加入于 2020-08-27 20:12:30 +08:00今日活跃度排名 1887 |
zsh2517 最近回复了
2 天前 回复了 clifftts 创建的主题 › 程序员 › 一个老程序员的胡言乱语 |
@bug51 #5 前端考古 有链接吗,想去围观一下
8 天前 回复了 BeijingBaby 创建的主题 › 奇思妙想 › 用户贡献的“加速”站 |
@icaolei 之前有过一个想法,是否可以把各种镜像进行规范整理,开源一组可以配置的 nginx/caddy/其他 配置文件。总之尽量做到几分钟能建立起来一个基于反向代理 + 缓存的内网镜像服务,各项参数如缓存大小、索引文件缓存时间、数据文件缓存时间、子目录/域名,是否代理发布能力等。这样个人或者组织内随便找台闲置的机器都能快速建立起来一个内网镜像站。
我没深入了解过,不知道是否有现成的解决方案了(主要是简单、通用)。之前 xzutils 那次,proxmox 里面十几个 debian 12 镜像挨个升级的时候想到的
我没深入了解过,不知道是否有现成的解决方案了(主要是简单、通用)。之前 xzutils 那次,proxmox 里面十几个 debian 12 镜像挨个升级的时候想到的
8 天前 回复了 BeijingBaby 创建的主题 › 奇思妙想 › 用户贡献的“加速”站 |
> 是否可搭建一个公开的、用户可监督的镜像站?需要加速什么资源,直接提 pr ,合并后开始加速?所有被加速的资源都是公开的,可被监督的。
用来对外提供服务的设施(服务器、CDN 、对象存储)的所有权是项目 owner 的,而且 owner 不可能给每个人登录和审查的能力。只要想做,他完全可以去存储缓存的地方进行修改。
昨天似乎就是有人曝光 51la, staticfile CDN 和 BootCDN 导致 V2EX 和作者博客被攻击( V2EX 据说昨天挂掉是因为这个),帖子链接 /t/1057993 文章链接 /t/1056428
用来对外提供服务的设施(服务器、CDN 、对象存储)的所有权是项目 owner 的,而且 owner 不可能给每个人登录和审查的能力。只要想做,他完全可以去存储缓存的地方进行修改。
昨天似乎就是有人曝光 51la, staticfile CDN 和 BootCDN 导致 V2EX 和作者博客被攻击( V2EX 据说昨天挂掉是因为这个),帖子链接 /t/1057993 文章链接 /t/1056428
14 天前 回复了 yegar 创建的主题 › 问与答 › 求助!我 QQ 姓名泄漏,该怎么办? |
@yegar #28 姓名泄露基本上没有什么影响。举个栗子,国内的开发者,很多人的姓名都是泄漏了的。国内基本躲不开备案,能找到一个有备案网站的话(现在还有应用、小程序),个人备案直接是姓名;为了资质注册了公司,很大概率法人或者股东等能找到人。
再比如大一些的社交媒体账号(粉丝数量超过多少),现行政策要求前台能查到运营者的实际名称。
再比如大一些的社交媒体账号(粉丝数量超过多少),现行政策要求前台能查到运营者的实际名称。
14 天前 回复了 weiqipeng 创建的主题 › 程序员 › 最近需求忙完了闲的蛋疼,来几个佬推荐下 React 和 Golang 的教程 |
14 天前 回复了 weiqipeng 创建的主题 › 程序员 › 最近需求忙完了闲的蛋疼,来几个佬推荐下 React 和 Golang 的教程 |
Golang 不熟,react 的话,装 node 20 或者 22 的环境,然后按照这里创建一个 react 项目( https://cn.vitejs.dev/guide/#scaffolding-your-first-vite-project ),命令:npm create vite@latest my-vue-app -- --template react 。试着运行起来(应该不会出意外)
然后,打开 GPT ,再打开 react 文档,跟着写就可以。vite + react 项目是有热更新的,保存就能看到效果。不会随时问 GPT
然后,打开 GPT ,再打开 react 文档,跟着写就可以。vite + react 项目是有热更新的,保存就能看到效果。不会随时问 GPT
15 天前 回复了 lucasj 创建的主题 › 程序员 › 请问大佬, MacOS 下如何设置 docker 使用本地代理? |
15 天前 回复了 shadowyue 创建的主题 › 程序员 › 大家都是草台班子😂,我干了这么多年开发,能把跨域问题说清楚的人也没几个😅 |
@me1onsoda #174 @brader #181
防止资源注入主要是 CSP (内容安全策略)吧。写插件或者 user script 的应该遇到过。简单说是网站可以声明自己页面内允许的外部资源域名,不在域名内的会上报或者拒绝加载。
至于跨域的安全体现在哪,这个还真没仔细考虑过。刚才找 GPT 问了一下,沿用 #181 的例子,前端 a.com ,后端 b.com ,恶意网站 xx.com 。拦截的是从外部前端发到自己后端的情况
异常情况:假如没有 CORS 策略,且 b.com 的 cookie 设置了 samesite: None 。那么在 xx.com 就可以构造一个 fetch('https://b.com/someapi', {credentials: 'include'}),进而请求到 b.com 的数据。
而如果有 CORS 策略,在 options 预检请求时,b.com 的后端检测到非同源可以返回拒绝;或者返回固定的同源策略,比如 Access-Control-Allow-Origin: https://a.com ,浏览器也会拒绝 xx.com 的请求。
如果 a.com 请求 b.com 的话,因为 b.com 的 CORS 头说明了允许 a.com 、使用 XXX, YYY 方式请求,允许的 headers 是哪些……,如果 a.com 按照规则来,浏览器就不会拦截。
---
另一种情况,假如 a.com 被恶意注入了发往 xx.com 的资源。这个时候 a.com 请求 xx.com 是靠 xx.com 的 CORS 判定的,拦不住。用到的应该是 CSP 。例如 Content-Security-Policy: connect-src 'self' https://b.com;
防止资源注入主要是 CSP (内容安全策略)吧。写插件或者 user script 的应该遇到过。简单说是网站可以声明自己页面内允许的外部资源域名,不在域名内的会上报或者拒绝加载。
至于跨域的安全体现在哪,这个还真没仔细考虑过。刚才找 GPT 问了一下,沿用 #181 的例子,前端 a.com ,后端 b.com ,恶意网站 xx.com 。拦截的是从外部前端发到自己后端的情况
异常情况:假如没有 CORS 策略,且 b.com 的 cookie 设置了 samesite: None 。那么在 xx.com 就可以构造一个 fetch('https://b.com/someapi', {credentials: 'include'}),进而请求到 b.com 的数据。
而如果有 CORS 策略,在 options 预检请求时,b.com 的后端检测到非同源可以返回拒绝;或者返回固定的同源策略,比如 Access-Control-Allow-Origin: https://a.com ,浏览器也会拒绝 xx.com 的请求。
如果 a.com 请求 b.com 的话,因为 b.com 的 CORS 头说明了允许 a.com 、使用 XXX, YYY 方式请求,允许的 headers 是哪些……,如果 a.com 按照规则来,浏览器就不会拦截。
---
另一种情况,假如 a.com 被恶意注入了发往 xx.com 的资源。这个时候 a.com 请求 xx.com 是靠 xx.com 的 CORS 判定的,拦不住。用到的应该是 CSP 。例如 Content-Security-Policy: connect-src 'self' https://b.com;
15 天前 回复了 shadowyue 创建的主题 › 程序员 › 大家都是草台班子😂,我干了这么多年开发,能把跨域问题说清楚的人也没几个😅 |
@raviscioniemeche #123 前段时间做一个东西因为 emoji 表现问题改了好几次实现。然后最近闲下来,深入了解了一下 unicode 、emoji 与 UTF-X ,发现这玩意是个大坑。
而且更坑的一点是,很多平台特性实现不完全,以至于本来我想在笔记里举个例子,结果举出来的展现不出来😂
而且更坑的一点是,很多平台特性实现不完全,以至于本来我想在笔记里举个例子,结果举出来的展现不出来😂
15 天前 回复了 gegeligegeligo 创建的主题 › 问与答 › 在国内的云服务器上配置代理有没有风险? |
@caomingjun +1 ,我一般只有在 ssh 的时候用(例如拉东西、装依赖等,能保证本地和远程有一条隧道),然后 -R7890:127.0.0.1:7890 把本地的 7890 转发到远程配个环境变量就行。没有在远程装过
如果硬性需要代理,要么扔境外服务器,要么扔本地 pve 跑
如果硬性需要代理,要么扔境外服务器,要么扔本地 pve 跑
Select Language