这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
这是一个创建于 611 天前的主题,其中的信息可能已经有所发展或是发生改变。
抛开各种鉴权不谈,只是想实现一个简单的全站加密(或者说授权访问)。比较常见的应用就是给朋友分享一下自己写的网站,但是不想被公开访问(考虑到可能托管在各类 pages 上面,希望可以纯前端实现)。
目前的思路是用 service worker 劫持所有的资源( html,js,css )请求,用非对称解密之后再返回。
有这种已经实现的轮子吗?或者有没有更好的方案。
 |
1
Jammar 2023-03-07 14:19:39 +08:00
套个 iframe 里面登录
|
 |
2
teem 2023-03-07 14:20:41 +08:00  1
页面弹窗输入密码访问,密码告诉朋友
|
 |
3
liyang5945 2023-03-07 14:20:43 +08:00
劫持所有资源不现实,有已经实现的轮子,hexo 有插件可以把文章内容加密成乱码(查看 html 源码也是乱码),输入密码后访问
|
 |
4
jybox 2023-03-07 14:24:00 +08:00 1
|
 |
5
tool2d 2023-03-07 14:26:04 +08:00
service worker 这种最容易被破解了,和主线程交互几乎都是固定 API ,拦截一下返回值就行了。
你还不如写在 JS 代码里,混淆一下。 除非你网站不可替代,要不然没几个人会反编译混淆后的 JS 。 |
 |
6
leimao 2023-03-07 14:27:26 +08:00
|
|
7
leimao 2023-03-07 14:29:09 +08:00
|
 |
8
mxT52CRuqR6o5 2023-03-07 14:31:26 +08:00
@tool2d 得有密钥才能解密啊
|
|
9
tool2d 2023-03-07 14:33:20 +08:00
@mxT52CRuqR6o5 在 service worker 里 hook api ,返回的应该就是明文了。
|
 |
10
duanxianze 2023-03-07 14:43:01 +08:00
直接在 nginx 加个鉴权不就好了?
|
 |
11
kaedeair 2023-03-07 14:47:59 +08:00
网关负责鉴权就行了
|
 |
12
hingle 2023-03-07 14:55:30 +08:00
直接用 /path 当成密码就行了
|
|
13
mxT52CRuqR6o5 2023-03-07 14:55:56 +08:00
@tool2d 你得先有秘钥,才有可能 hook 到解密完的明文
|
|
14
tool2d 2023-03-07 15:02:48 +08:00
@mxT52CRuqR6o5 没理解,按照楼主的思路,在 service worker 里出来的就是文件明文了啊。
密文仅仅是 url fetch 返回的结果,worker 都内部处理过一次了。如果这时候还没有密钥,那浏览器也没办法解析 html 了。 |
 |
15
liuidetmks 2023-03-07 15:05:01 +08:00
|
|
16
liuidetmks 2023-03-07 15:06:16 +08:00
@liuidetmks 页面很轻巧,使用浏览器自带的 crypto API 实现,没有引入其他库。
|
|
17
mxT52CRuqR6o5 2023-03-07 15:06:42 +08:00
@tool2d 密钥前端输入(比如 input 文本框,又或者放到 url query 里),得到秘钥再去 fetch ,service worker 劫持请求用秘钥解密
|
|
18
tool2d 2023-03-07 15:07:14 +08:00
@mxT52CRuqR6o5 哦,我理解你意思了。就是加密私密 blog ,不输入密钥没办法查看那种。
因为我看到楼主开头写的是加密 html/js/css 全部资源,还以为是自动解密,不需要输入密码那种。 |
 |
20
libook 2023-03-07 15:49:42 +08:00
感觉挺有趣的,理论可行,没有见过相关实现,题主可以做一个,我去 star 。
|
 |
21
v2yllhwa OP @liyang5945 为什么劫持所有资源不现实呢? hexo 的加密插件我知道,但是仅限于 hexo 能用吧。例如我平时写点前端的小玩意儿打包出来就不能用了。而且用框架的话,主要内容可能都在 js 里面,只加密 html 应该是不行的。
|
|
23
v2yllhwa OP @duanxianze 主题里说过了,可能会托管在 github pages/cloudflare pages 等等,不考虑后端的配合。
|
|
24
v2yllhwa OP |
 |
25
vizards 2023-03-07 16:03:33 +08:00 via iPhone
配合 webpackJsonP 的类似实现,例如重度使用此功能的 webpack5 module federation 可以实现运行时 dynamic import 进相关的 js 代码文件块(加密后),在 service-worker 层挂一个劫持逻辑做解密,或许具有可操作性?编译时要多做一步加密 jsbundle 的操作
|
 |
26
yaphets666 2023-03-07 16:29:22 +08:00
某几个页面不要服务端渲染,#xxxx 的路由还会被收录吗?
|
 |
27
TomVista 2023-03-07 16:39:31 +08:00
把解密方法做成油猴给朋友.
|
 |
28
azui999 2023-03-07 17:11:55 +08:00
不想被公开访问?
把你朋友拽到你屏幕前面并捆绑住他的手脚,以免他拍照录像, 这样基本就能以绝后患了 |
 |
29
Envov 2023-03-07 19:25:43 +08:00
我觉得题主说的方法就是很好的方法
|
 |
30
kele999 2023-03-08 20:04:21 +08:00
叫朋友去你家看
|
 |
31
sobev 2023-03-09 10:17:45 +08:00
github page hexo 主题,有个插件可以输入密码后访问
 ) |
 |
32
xieqiqiang00 2023-03-09 11:46:19 +08:00
“比较常见的应用就是给朋友分享一下自己写的网站,但是不想被公开访问”
你需要的不是 0 信任网络么 |
|
33
xieqiqiang00 2023-03-09 11:48:42 +08:00
[Imgur]( https://imgur.com/HbuZq9V)
|
 |
34
QiaTia 2023-03-09 18:05:36 +08:00
我记得 confirm ,prompt ,alert 这几个 js 方法是能中断浏览器进程, 如果想做的足够轻直接使用 prompt 足够了
|
 |
35
akakidz 2023-03-10 10:01:50 +08:00
内容全部加密发布,给你朋友本地浏览器安装个油猴脚本,本地解密
|
Select Language