爱看星星 - 专注于分享类博客 - 技术教程

站点跨域代码—允许所有域名访问

admin — Tue, 15 Aug 2023 15:43:00 +0800

前言
当我们通过浏览器访问网站时，我们可能会遇到跨域访问的问题。跨域访问是指在前端代码中，通过JavaScript代码访问来自不同域名或端口的资源时所遇到的限制。本文将深入介绍什么是跨域访问，为什么存在跨域限制，以及如何使用常见的跨域访问技术来解决这些问题。无论您是一名前端开发人员还是网站管理员，本文都将为您提供有用的知识来处理这个常见的问题。
什么是跨域？
在互联网上，各个网站之间存在着域名和端口的概念。浏览器在发送 HTTP 请求时需要指定请求的目标地址（域名和端口），而服务端在响应请求时会返回相应的数据。如果前端代码在一个网站中想要访问另一个网站的数据，就需要进行跨域访问。

跨域访问通常会受到浏览器的限制，例如浏览器会禁止通过 JavaScript 代码访问来自不同源的资源，这是出于安全考虑，防止恶意代码通过跨域访问窃取用户信息或进行其他恶意行为。因此，开发人员需要了解并合理处理跨域访问问题，以确保网站的安全性和正常运行。

nginx解决跨域的代码

跨域问题

location / {
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
if ($request_method = 'OPTIONS') {
    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
    add_header 'Access-Control-Max-Age' 1728000;
    add_header 'Content-Type' 'text/plain; charset=utf-8';
    add_header 'Content-Length' 0;
    return 204;
}

}

location /，反斜杠改为你当前要跨域的域名，如location cdn.nmssb.cn

代码放置的位置：

代码位置

简介版解决跨域代码

 #允许跨域
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods 'GET,POST';
add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';

代码放置位置

注意：如果添加其他的跨域代码时要删除其中一个跨域代码，本站长建议使用简介版的代码即可，添加完成后找到软件商店已安装的nginx，选择重载配置后重新启动。

网站解决跨
演示的站点是我早就准备好的，之前出现的跨域问题是，博客网站使用专门的静态资源站点的进行了跨域的限制，字体图标不会显示，后面我添加解决跨域的代码之后我的博客就可以使用我的专门的静态资源站了，静态资源站点是专门提供给使用joe主题的站长使用的，资源站点的服务器是搭建在国外服务器的，不过大家不用担心速度的问题，已经使用国内的cdn进行加速了，速度还是挺快的，静态资源的站点链接:https://cdn.nmssb.cn这个静态资源站的意义就是公益的，免费使用，希望使用的站长要进行一个爱护，不要使用cc攻击和ddos攻击就行了，cdn加速的流量是每个月2T流量，大家不用担心后续会欠费的问题，只是大家不要嫌弃网站的速度慢行了，网站已经设置好跨域的问题，不同的站点使用的话都可以使用的，不会出现部分资源不能使用的问题，还有就是不要使用xss跨站攻击哦，对我们的利益没有任何的关系，这只是一个公益的静态资源站点，JS,CSS资源的一个储存罢了。

注意
这个跨站的问题只能是给单独的站点配置，如果你给全部的站点使用跨站的代码的话很有可能被跨站攻击，建议不重要的站点设置跨域就行了，就像我的静态加速站一样。其余的站点都是没有配置的。

腾讯微云外链图片—减轻服务器压力

admin — Mon, 07 Aug 2023 21:58:39 +0800

腾讯微云免费用户有10G的存储空间，下面的图片是外链分享，可以在图床中直接进行使用。

！！！手机端看图①图②！！！

外链预览:
https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/1df01bba4275c883c13a18b4c7c9d62449fb27aa3170a1e7fc307bc53a7f10428962ef10caa5de69f55550255a26d752?pictype=scale&from=30111&version=3.3.3.3&fname=IMG_20230723_165430.png&size=1024

BaiDu网盘不限速下载工具直链解析

admin — Fri, 04 Aug 2023 00:12:00 +0800

软件介绍：

就是加速就是加速是一个百度网盘不限速下载工具，可以直链解析出百度网盘文件下载链接，
然后借助第三方工具（aria和motrix）进行满速下载，而且使用无需注册登录，也不用登录自己百度账号，
直接复制百度网盘链接粘贴进行解析即可，完全没有封号的风险，非常方便，不过不建议用来下载私密的文件哈。
软件截图：

地址：
https://api.94speed.com/

一段简单的代码实现只能指定ip调用API接口

admin — Mon, 31 Jul 2023 17:06:00 +0800

注意事项：

   授权后该代码只能允许授权列表的ip调用接口。

使用方法：

   直接加在API接口头部即可。

$ip = trim($_SERVER["REMOTE_ADDR"]);
$myip = '1.1.1.1|2.2.2.2';// 需要授权的ip，多个任意字符隔开
if (strstr($myip,$ip)==false) {
    exit("你的ip->$ip没有授权噢！");
}

搭建属于自己随机图片API

admin — Mon, 31 Jul 2023 12:59:00 +0800

第一步：新建文件 index.php

第二部：打开文件 index.php 文件输入以下代码后保存

第三步：在index.php文件的目录下新建文件夹【img】

第四步：将图片放在img文件夹下后访问域名就可以了

Typecho-1.2.0 版本出现严重漏洞可植入XSS木马

admin — Mon, 31 Jul 2023 12:56:00 +0800

木马结构分析
官方文档：https://github.com/typecho/typecho/issues/1545

对方可以在你评论区评论内容+输入网站选项时植入XSS木马，并在404.php写入木马

从而获取你的cookie值，对方直接登入你的后台

解决办法
把Typecho升级到1.2.1版本（官方已经解决了这个问题）
如果你已经被植入过XSS了，那你应该检查一下你的数据库了
如果是宝塔用户，那么宝塔有一个数据库每天都自动备份的功能，如果你开了，那就删除当天被植入过的数据库，恢复前一天的数据库，
对方登入你的后台后，点击外观→编辑当前外观，对方也是可以修改你主题文件源代码的，因为你也不知道对方到底改了哪里，所以最好是导入新的主题文件使用
宝塔安装日志清理工具，扫描全选清理所有垃圾，
这样一套操作下来基本无后顾之忧了

Typecho-1.2.1 官方下载地址：https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

你下载国家反诈APP了吗？

admin — Mon, 31 Jul 2023 12:53:00 +0800

软件介绍

一、检测手机可疑应用
您可以在“国家反诈中心”App里快速检测全机已安装应用和未安装应用安装包，精准识别手机内可疑诈骗应用。

二、在线提交涉案线索
1、报案人在警局现场报案后，上传涉案线索。
2、报案人电话报案后，上传涉案线索。
3、其他情况下要求报案人上传涉案线索。

三、举报非法可疑电信诈骗行为
用户使用手机过程中，如发现可疑的手机号、短信，赌博、钓鱼网站，诈骗App等信息，可以在“我要举报”模块进行举报。

四、验证交易对方身份真实性
1、社交软件转账时，知道对方身份的真实性，防止财产损失。
2、社交软件交友时，防止对方冒充身份进行诈骗。

五、支付风险核验
1、给好友或他人转账时确认对方是否为涉诈账号，避免资金风险。
2、社交场景下确认聊天对方账号是否涉诈，提高警惕避免点击或观看钓鱼网址等诈骗信息。

六、收获专属防骗知识
1、根据不同年龄、职业等人群特点，测试您的被骗风险指数，防患未然；

需要特别提醒大家的是：

1.需要进行实名验证；
2.使用线索提供、我要举报、号码标注功能时，需先身份验证；
3.诈骗预警权限不开启不能使用预警功能；
4.必须填写所在地区为“XX省XX市XX县(市、区)”，详细地址必须注明所在镇街，详细到门牌号，有利于本地公安机关推送防诈知识及预警信息；
5.填写全部社交通讯信息，有利于精准预警诈骗信息；
6.APP使用时，需要点击“诈骗预警”模块授权手机权限，如“悬浮窗”“通话记录”“照片访问”“视频访问”“访问短信”“访问通讯录”等等所有权限点击【总是允许】