V2EX › raw0xff 的所有回复 › 第 4 页 / 共 14 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 14

❮

❯

2024-04-08 18:46:10 +08:00

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@caomingjun worker.js 里可以改 response 中所用东西，试过了。

@0o0O0o0O0o 感谢大佬这么细致，你猜的对，“当自己的 web 应用跑在别人的主机和域名下，如何避免网页被注入”。感觉只能制造注入控制的难度，治标不治本。比如整个随机变量名和随机位置啥的。另外浏览器加载网页 js 后是需要跟服务端程序通信的，我总觉得有办法解决，又想不出办法。

2024-04-08 09:36:02 +08:00

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@r46mht 不是，加 tls 的话证书和 key 都是暴露的，无济于事。

为了确保 worker 不注入代码，浏览器收到的是服务端给的完整代码。
CSP 不行，会被直接绕开。
服务端识别请求也不行，worker 可以修改标头。

如果服务端对每次每个用户的登录请求返回不同的内容（比如随机函数名随机变量名随机代码排序等等）使中间人统一作恶有一定难度，不知道这个想法成不成熟有没有用。

在这种带证书的中间人情况下，是不是任何措施都只能增加中间人作恶难度，而不能解决根本问题？哪位老哥给点建议，不行我就换个思路，定期从外部访问校验网页是否安全。

2024-04-08 01:55:18 +08:00

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@caomingjun 标头都可以修改

@icoming
@ETiV
完美中间人形容很贴切。不知道页面嵌入个 wasm 能不能解决问题。或者就换个思路，模拟普通用户访问对网页代码进行验证。

2024-04-08 01:06:40 +08:00

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@caomingjun 常规是有标识，但是 worker 可以修改 fetch 的 headers ，可以伪装成普通浏览器用户。

2024-04-08 00:55:07 +08:00

回复了 raw0xff 创建的主题 › JavaScript › cloudflare workers 传入网页时注入脚本的话，是不是服务端设置 CSP 也没办法保证完整性？

@codehz 主机运行的服务端与主机及域名权限拥有者不是一个人。担心主机通过 worker 注入代码，浏览器得到的网页代码被修改，用户操作就不安全。

@ETiV 理论上 worker 能完整的得到响应就能改，貌似无解。不知道服务端是否能分辨出请求是否来自 worker 还是客户端浏览器？

2024-04-07 23:23:18 +08:00

回复了 raw0xff 创建的主题 › 程序员 › 让 AI 给个查询钱包的例子，例子中地址竟然真实存在。

@pipaseqin 试了下果真找到个有 1trx 的，感觉像在捡硬币哈哈