zkqiang
commented
4 years ago 都已经是静态了,怎么样都无法隐藏的
Closed Duter2016 closed 4 years ago
zkqiang
commented
4 years ago 都已经是静态了,怎么样都无法隐藏的
qistchan
commented
4 years ago 如对app_id和app_key的用法有疑问可以阅读Leancloud相关文档
so1ve
commented
4 years ago 当前使用的v1.4.14版本,偶尔发现valine在页面源代码中将app_id和app_key显示为明文。valine能否在页面源代码中隐藏掉app_id及app_key?这样对于绑定域名及使用虚拟空间服务器的静态博客,可以不暴露app_id及app_key。
这个是不可能的 除非你到时候直接删掉<script>标签
MHuiG
commented
4 years ago @FFRaycoder 你来找一下这个页面的app_id和app_key 
so1ve
commented
4 years ago @FFRaycoder 你来找一下这个页面的app_id和app_key
槽?
so1ve
commented
4 years ago @FFRaycoder 你来找一下这个页面的app_id和app_key
破解成功我要私信发给你吗
so1ve
commented
4 years ago 
MHuiG
commented
4 years ago 还是那句话,前端加密和验证都是无效的。
so1ve
commented
4 years ago 还是那句话,前端加密和验证都是无效的。
有道理,哈哈
Reqwey
commented
4 years ago 随便弄个MD5加密得了,反正这东西又不是很重要,别人拿走了不过就是接收你博客的评论而已,况且没什么人会无聊到破解这种东西吧
Reqwey
commented
4 years ago hexo文章加密插件现在还很多人用呢
Reqwey
commented
4 years ago 倒是可以搞一个以LeanCloud为后端的用户登入,这样可以防止别人用你的邮箱乱发东西(滑稽
MHuiG
commented
4 years ago 随便弄个MD5加密得了,反正这东西又不是很重要,别人拿走了不过就是接收你博客的评论而已,况且没什么人会无聊到破解这种东西吧
问题是用到app_id和app_key的时候需要解密,,,,,,,,
MD5摘要算法不可逆
既然需要解密,那么,,,,,,要把解密的密钥藏在哪里??
(不需要解密密钥的加密算法在上回已经被@FFRaycoder破解过了)
MHuiG
commented
4 years ago hexo文章加密插件现在还很多人用呢
这个好像是用的AES对称加密,解密密钥是访问者手动输入的。
昨天碰巧看到的
MHuiG
commented
4 years ago 总结一下:valine在页面源代码中将app_id和app_key显示为非明文是可行的,但是也是无效的。除非你有后端,~或者使用原创非公开加密算法(非公开加密算法比公开加密更容易破解)~。
kongfl888
commented
4 years ago 在安全域名那里限死,直接告诉你又何妨?有leancloud做安全把关,一点都不担心。Web 应用安全设置。各位有点复(xiang)杂(duo)化(le)了(ba),
so1ve
commented
4 years ago 总结一下:valine在页面源代码中将app_id和app_key显示为非明文是可行的,但是也是无效的。除非你有后端,或者使用原创非公开加密算法。
顺便问一下,你之前那个加密咋做的,真萌:trollface:
stale[bot]
commented
4 years ago This issue has been automatically marked as stale because it has not had recent activity. It will be closed if no further activity occurs. Thank you for your contributions.
MHuiG
commented
4 years ago so1ve
commented
4 years ago Try to use cloudflare workers edge computing to improve the security
目前有http版的api了,只需要md5即可(好像作者又咕了
MHuiG
commented
4 years ago Try to use cloudflare workers edge computing to improve the security
目前有http版的api了,只需要md5即可(好像作者又咕了
我在页面源代码中隐藏了app_id和app_key,https://blog.mhuig.top/ ,serverless###代###理###一下ServerURL就可以实现
so1ve
commented
4 years ago Try to use cloudflare workers edge computing to improve the security
目前有http版的api了,只需要md5即可(好像作者又咕了
我在页面源代码中隐藏了app_id和app_key,https://blog.mhuig.top/ ,serverless###代###理###一下ServerURL就可以实现
看过啦,就是不懂实现原理……(带佬的世界俺不懂
MHuiG
commented
4 years ago 想要个https版的api
so1ve
commented
4 years ago 这有啥区别嘛。。。。。。。。。
MHuiG
commented
4 years ago 有个跨域的区别,有时候很烦人
inkss
commented
4 years ago @MHuiG 大佬( ఠൠఠ )ノ
leancloud 的 REST-API 能用嘛,它有个用 sign 替代 key 的方法。
sign = md5(timestamp + key) X-LC-Sign: sign,timestamp
当前使用的v1.4.14版本,偶尔发现valine在页面源代码中将app_id和app_key显示为明文。valine能否在页面源代码中隐藏掉app_id及app_key?这样对于绑定域名及使用虚拟空间服务器的静态博客,可以不暴露app_id及app_key。