[饿了么] 支持多账户及青龙面板
This commit is contained in:
blackmatrix7
@ -128,13 +128,13 @@ MagicJS 3 增加“青龙面板模块”,可以将所使用的变量,直接
|
||||
|
||||
JavaScript脚本可以执行非常多的操作,通常来说,在客户端中调用脚本属于高风险行为。您在使用脚本前,务必确认脚本安全可信,如果有条件,应该仔细阅读脚本代码。
|
||||
|
||||
特别需要注意:
|
||||
### 特别注意
|
||||
|
||||
### 脚本是否含有对外发送请求的操作
|
||||
#### 脚本是否含有对外发送请求的操作
|
||||
|
||||
如带有Cookie、Token、Password等等可以作为身份凭证的请求,这类请求比较敏感,务必确认请求的目标安全可信。理论上恶意脚本可以利用你的Cookie,进行非常多的行为,如发帖、购物等等。
|
||||
|
||||
### 脚本对响应体进行修改
|
||||
#### 脚本对响应体进行修改
|
||||
|
||||
对于修改响应体的脚本,必须确认修改响应体内容可信。通过对Http请求响应体的修改,可以在客户端上显示一些欺诈信息,例如显示一些虚假的中奖信息。
|
||||
|
||||
@ -146,5 +146,23 @@ JavaScript脚本可以执行非常多的操作,通常来说,在客户端中
|
||||
|
||||
**出于安全性考虑,不建议使用任何被加密、混淆的脚本。**
|
||||
|
||||
如果你在使用青龙面板,由于magic.json内的数据是完全开放不做加密的,并不能防止其他恶意脚本读取magic.json导致信息泄露。所以请务必确保在青龙面板上运行脚本的安全性,本仓库的脚本不会窃取你的数据,但是无法避免第三方恶意脚本,窃取由本仓库的脚本存储/生成的数据。
|
||||
### 青龙面板
|
||||
|
||||
如果你在使用青龙面板,由于magic.json内的数据是完全开放不做加密的,并不能防止其他恶意脚本读取magic.json导致信息泄露。
|
||||
|
||||
所以请务必确保在青龙面板上运行脚本的安全性,本仓库的脚本不会窃取你的数据,但是无法避免第三方恶意脚本,窃取由magic.json的内容。
|
||||
|
||||
##### 数据同步
|
||||
|
||||
MagicJS 3的青龙模块,提供了快速将手机上数据同步至青龙面板的功能,但也带来额外的安全风险。
|
||||
|
||||
青龙面板所需的登录配置,受运行环境限制,仅能以明文的形式存储在客户端提供的存储池中。
|
||||
|
||||
如果恶意脚本篡改青龙面板的登录配置,脚本会将你的Cookies等数据,同步至恶意脚本所提供的青龙面板中,造成信息泄露。此类风险,在当前的条件下,没有很好的解决方式。
|
||||
|
||||
**所以再次建议不要使用被混淆和加密的脚本。**
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
Reference in New Issue
Block a user