restkhz

我不就拿着望远镜看看你家吗？你干嘛拉窗帘？你又没做坏事，你怕什么？
可不可以把你最近照片发我一份？反正你又没做坏事，你怕什么？

哦，我只是在引用某些人对女孩耍流氓时的话，绝对没别的意思。

有很多人说前端 hash 是为了防止服务器沦陷，比如服务器流量干脆被劫持，TLS 证书被盗。
“服务端不可信任！”
但是如果是 web 的话，入站流量里的密码能被劫持所以你 hash 了用户密码，思路 OK 。
但是如果服务器已经沦陷，别人不能直接改你出站流量里前端 js 脚本吗？直接去掉 js 里 hash 步骤让用户明文提交，或者干脆就钓鱼，咋办？
或许你做的是 APP 的 API 吧，不从服务器接收认证逻辑，我不否认这是一种纵深防御思想...

我对此的态度是，反正没有太大收益，只要不怎么增加复杂性，开心就好。

因为信任 TLS ，信任服务端。我想这就是不 hash 提交密码的原因。
否则服务端若不可信任，你大概要再做一套认证+加密，几乎就是再发明一个 TLS 了。

所以我也不太清楚，TLS 后，前端流量还要加密一下的意义有多大，我见过有用 AES 的(对，还不是非对称)，甚至比前端 TLS+hash 还难理解它的意义。

不恰当的比喻：TLS 都能被攻破的情况下，你再加一层凯撒位移不会更安全。
制造无意义的信任边界，过度设计只会让事情变得复杂，增加成本，甚至可能更不安全。

btw ，什么是“可逆加密”？不可逆的加密是加密吗？（小声）

不在东八区, 看了。天气，时间和角度都没那么好。跑了个空旷地站了半个小时，快结束那会看到了。

我不得不说，很多人理解就错了。CORS 出发点不是“为了安全”，而是为了灵活。

很多人说的其实是 SOP ，同源策略。说白了就是分隔不同站点的 cookie ，认证 header ，资源等。
而后又发现其实有时候我们也是需要跨域访问的，比如你前后段分离。但是因为 SOP ，很多事情都做不了。

所以要打一个补丁，但是你总不能破坏 SOP 吧？所以搞了这一堆机制。存在部分安全限制的灵活。
很多人的困惑就是因为直接看了 CORS ，就觉得这莫名其妙。所以楼主你还是从 SOP 看起吧。


而且人们普遍对 web 攻击理解是有问题的。

比如 3 楼，说的“跨站脚本攻击”，实际上就错了。你说的更像是 CSRF 。
你要是说跨站脚本攻击，但是它的发起可以是同源的，这种 CORS 防不了。
你描述的 CSRF 有时候根本不需要响应内容。服务器收到就好。这种 CORS 也防不了。


而后楼主在 20 楼的问题，这是 CSP 可以解决的。你可以在 html 里给调用的 js 直接写上 hash ，浏览器会自动验证 hash 。可以应对投毒。


如果你在乎安全，去看看 CSP ？

正好最近搞了个这个： https://github.com/restkhz/CutterMCP-plus
对这个马做了一个简单静态逆向，这个马功能没那么简单。但他调试符号没有剥掉...
这马偷很多信息啊，而后从 c2 下载另一个马再执行。

其实是：先有这碟醋还是先有这盘饺子？

根据收集到的个人数据给每个人免费发一个最佳机器人伴侣，能聆听能做饭，能赚钱能陪伴。
不要车不要房，不要彩礼平时也不会说自己最近忙。

ta 能满足你的癖好，长得也戳你。而且对你忠诚。能跟你聊从天文到地理，从历史聊到哲学，从哲学聊到科技。
更要命的是 ta 还会搞浪漫，因为了解你，所以你绝对不会觉得无聊。

你不用上学，你不用上班。你每天和 ta 玩就是了。ta 永远支持你，陪伴你。公司领导同事 sb ，学校老师同学 sb 。
那为什么还要上班上学呢？你只需要按照你的个性玩就好。
虽然机器偶尔也给你设计一些挑战，但是都很符合你的个性，并不困难。就像给洄游性鱼类挖了一条浅浅小小的瀑布一样。你可以去打游戏，可以去游泳，跳伞，攀岩，和别人竞争......

你衣食无忧。机器人可太好了。
只是不能和你生孩子罢了。

但是你快乐啊。什么？一个机器不够？那就两个。

当有一天你和别的生物人接触的时候，你突然发现：
另一个生物人居然是那么的原始，野蛮，自我，无知。
你们彼此互相都接受不了，甚至互相厌恶。
于是人和人的关系就此逐渐消亡。
而异性？简直就是外星人了。

有一天，你是地球上最后的人，垂垂老矣，行将就木。
那个机器人还是那么年轻，可爱。你在病床上，ta 一直都在旁边，关切地望着你，握着你的手。ta 眼里满是怜惜和泪，为你，和整个人类送别。
你想着你和 ta 曾经快乐的人生，在半梦半醒之间永远的闭上了眼。
人类就这么灭绝了。

ta 的使命也结束了。

y2b 简中人少只是一个方面。
虽然我是外行，但是你这视频几个硬伤很明显
1. 你的视频没有解说，反正我没听见人声。字幕就那样。观众很多时候根本看不懂你在视频中当前这几秒在做什么（其实绝大多数人也不在乎）
2. 没声音加点音乐刺激会让观众更有兴趣。
3. 没几个人在乎你做了什么内行，什么实用的东西，观众想看点刺激的。
4. 封面不吸引人。

我就拿你那个隔离变压器来说，没人关心你现在在绕线，哪根线是什么，为什么接到某个地方。就算想关心，你不说明也看不懂。所以外行内行都不想看。万用表那个读数代表什么，观众也压根不明白，所以也不知道你下一步是做什么。全程不明所以。
观众没有丝毫参与感。

你看流量就知道，最火的那两个视频，比如封面，普通人懂：
热成像，哦牛逼。看到高压那个，打弧了，哦牛逼。看封面看标题就觉得刺激，就想看。另外两个视频根本没吸引力。

而后用户点进来，看了一眼，不知道你在那里打什么孔，那个孔做什么的。接什么线也不明白，十分钟，根本不知道你在做什么。
绝大多数人没看两分钟就退了。没意思。你觉得 y2b 还会帮你推送吗？

你可以多看看别的 y2b 上 DIY 的节目。说到底，观众就像看点刺激的。经典的比如 ElectroBOOM ，还有的号上来就搓了一个涡喷。我觉得可以参考。

还有，比如你那个什么隔离变压器，你可以说这东西怎么保护你安全没被电死（当然你真的要注意安全）做科普，或者你用自制点焊机做了一个“设计非常人性化”的东西。封面做好点，我觉得只要观众有人能从头到尾看完就行。

顺便，你不说话也可以配点音乐。
反正有一部分用户会想看完就好