随时操作 JS 变量？毒蘑菇变量更新了，快来瞅瞅吧。🥰🥰

感觉 UI 还挺好看的，而且这个 idea 挺有趣了，支持支持！

好家伙。。你这网站要是被攻陷了，这整个就是个 XSS 乐园啊

非常赞同 @Rache1 。

建议用 gpg 签名(或类似格式)然后客户端写死公钥验证。

已经被打穿了？这么快！

@Rache1 支持用 json 的方式引入总不会 xss 攻击了吧，而且我对变量值做了处理，只能存可以 JSON 的数据，所以他要攻击到我的服务器里才行，而且支持用阿里云的 oss 存，他总不能攻击到阿里云上吧

好用，支持！

https://var.dumogu.top/var/info/EpHyQ2t6o
还是算错了一步哇，本来我是添加的时候做了处理的了，因为考虑到这是用户自己添加自己用的，如果用户有在自己网站上引用此变量的权力那这就是自己造成的
之后会处理这种，限制变量值只能是可 JSON 化的数据

打不开哇 有啥限制吗？

@codingax 没啥限制呀，你把翻墙的关了试试？

@Belmode 还得是你们呐，所以说还是得有人来试试才能找出更多的问题

@wuzhanggui #5 这更多的取决于使用方了，举个例子，如果使用方拿到数据后直接 innerHTML ，还是存在 XSS 风险的。

虽说这是使用方的问题，但是对于怀有恶意的人来说，你这平台就是一个大肥肉，极具攻击价值。原本只需要挨个攻击才能 XSS 的，现在只需要攻击你这一个站，篡改你的数据，就可以影响的 N 个站了，对于使用方来说，原本只需要保证自己第一方是安全的就好了，现在还有确保第三方不掉链子。

其实 CDN 站也是同理，只是 CDN 引入的基本都不会变，且可以使用 integrity 验证，而你这个的设计之初就不能用 integrity 了。

有才。

小心被黑产拿去做 肉鸡上线地址更新

OP 赶快检查一下 CDN 是不是按量付费的
等下无聊者给你打几千块费用出来就玩大了

还备案了，乐死，你就看轮子啥时候来吧

供应链攻击?

@GenericT 啥轮子，我网站多，备个案很正常吧

@Rache1 感谢，学到了一个新东西，我已经想到了一个完美的问题了，我 js 固定，而且生成 hash 值，这个 js 里去读取.json 的数据，这样就做到了数据变化了但是.js 是不变的，完美解决这个 xss 的问题，数据被攻击了完全没啥影响，因为数据方面的问题用户完全可以在引用后自行判断。

怎么说呢，这个需求很古怪

感觉适合做后门，防止别人不给钱，通过请求这个变量判断要不要关闭服务。