-
Notifications
You must be signed in to change notification settings - Fork 2.9k
规则的安全性
blackmatrix7 edited this page Dec 30, 2020
·
1 revision
分流规则仅是对部分网络请求,依据请求的域名、IP、关键字等进行分类,通常情况下不会有安全风险。不过需要注意分流规则应用的策略是否安全可信。分流规则应用的策略由您在客户端自行设置与分配,与本项目无关。
处于安全性考虑,程序在自动整合复写规则时,会进行一定的限制。
只整合上游数据源中类似reject的复写策略,遇到如302、307、脚本参与处理的复写规则会直接丢弃。整合后的复写中只含有reject类型的策略,所以通常情况下不会有安全风险。
只整合上游数据源中的302、307重定向策略。重定向的操作存在一定的安全风险,例如将一个合法的网站,重定向到仿冒的钓鱼网站,以窃取输入的账户、密码等信息。当前重定向的复写仅为程序自动对数据源进行整合去重,未对重定向目标的安全性做任何校验。如果使用重定向复写,需要自行承担风险。 强烈建议在使用前:
- 逐条阅读并确认重定向的目标网站无风险
- 引用此链接时禁止客户端自动更新重定向规则,每次手动更新再逐条核对
- 复制重定向复写的内容到客户端本地,作为本地规则使用
Http为无状态协议,需要Cookie来保持客户端会话状态。通俗的说,Cookie本身等同于账号密码,所以不应在任何公共场合随意泄露您的Cookie。获取Cookie的脚本,属于敏感操作,使用前务必仔细阅读脚本内容。目前GetCookie复写,只整合本项目维护的签到脚本,Cookie等会话凭证只用于签到时服务端的身份认证。整合的所有脚本代码开源不做任何混淆加密,对安全性有疑虑可以阅读脚本内容。
通过脚本对部分APP内的广告进行去除。当前仅整合本项目维护的去广告脚本,含有知乎、什么值得买、BiliBili等APP的去广告脚本。此类脚本不需要获取Cookie信息,同时不对外发送任何数据。同样的,脚本代码开源,有安全疑虑可以阅读脚本内容。
受限于QuantumtultX的复写不能含有分流规则,所以此复写暂时不支持QuantumtultX。
不积跬步无以至千里