上一主题 下一主题
油猴中文网»论坛 娱乐 聊天摸鱼 脚本猫新API CAT_fileStorage 提案
ScriptCat,新一代的脚本管理器脚本站,与全世界分享你的用户脚本油猴脚本开发指南教程目录
123下一页
返回列表 发新帖
楼主: 王一之 - 

脚本猫新API CAT_fileStorage 提案

[复制链接]
  • TA的每日心情
    开心
    2024-3-13 10:14

    • 签到天数: 211 天

    [LV.7]常住居民III

    295

    主题

    3915

    回帖

    3835

    积分

    管理员

    积分
    3835

    管理员荣誉开发者油中2周年生态建设者喜迎中秋油中3周年挑战者 lv2
    发表于 2022-12-16 11:40:08 | 显示全部楼层
    steven026 发表于 2022-12-16 11:33
    0.0
    油猴好像不共享
    共享感觉的确会有安全问题 我之前自动登录账号密码都是存在Value里面的

    是的油猴不共享,这是脚本猫的特性

    确实会有安全问题,如此就得注意了。我想一下改进方案,可能提供一个API,申请加入共享,然后弹出一个框框用户确定
    上不慕古,下不肖俗。为疏为懒,不敢为狂。为拙为愚,不敢为恶。/ 微信公众号:一之哥哥
    回复
    订阅

    使用道具 举报

  • TA的每日心情
    开心
    2024-3-13 10:14

    • 签到天数: 211 天

    [LV.7]常住居民III

    295

    主题

    3915

    回帖

    3835

    积分

    管理员

    积分
    3835

    管理员荣誉开发者油中2周年生态建设者喜迎中秋油中3周年挑战者 lv2
    发表于 2022-12-16 11:41:21 | 显示全部楼层
    极品小猫 发表于 2022-12-16 11:20
    就是由API去算文件的Hash并记录,不匹配的时候进行拒绝并警告

    0.0没有理解,如此上传下载文件时还得记录这个hash?
    上不慕古,下不肖俗。为疏为懒,不敢为狂。为拙为愚,不敢为恶。/ 微信公众号:一之哥哥
    回复

    使用道具 举报

  • TA的每日心情

    2023-10-19 09:35

    • 签到天数: 66 天

    [LV.6]常住居民II

    6

    主题

    126

    回帖

    219

    积分

    高级工程师

    积分
    219

    油中2周年生态建设者
    发表于 2022-12-16 12:18:58 | 显示全部楼层
    王一之 发表于 2022-12-16 11:41
    0.0没有理解,如此上传下载文件时还得记录这个hash?

    总之得考虑好各方面的安全问题,毕竟这不是download API加个扩展类型的白名单的事情

    要是API不具备token,很难想像后果

    有了token,文件只能存在脚本对应token的位置去,防止其它脚本篡改,最大保障脚本自身的安全性。

    可以提供公共目录,但是必须有授权提醒,有授权记录,同时建立扩展白名单制度,只能存取文档、图片、媒体元素,压缩包。可以参考TM的下载文件白名单。

    目前脚本猫没有精力去审查脚本,require也没有限制,作恶太容易。如果可能的话,最好针对公共目录能建立log


    好像一下子给一之GG好大压力,先完成token,自己玩自己的就好了吧

    不管怎样,一之GGNB~!赛高~破音~!
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    4 小时前

    • 签到天数: 638 天

    [LV.9]以坛为家II

    30

    主题

    536

    回帖

    1411

    积分

    荣誉开发者

    积分
    1411

    荣誉开发者新人进步奖油中2周年生态建设者新人报道挑战者 lv2油中3周年喜迎中秋
    发表于 2022-12-16 13:20:08 | 显示全部楼层
    王一之 发表于 2022-12-16 11:40
    是的油猴不共享,这是脚本猫的特性

    确实会有安全问题,如此就得注意了。我想一下改进方案,可能提供一个 ...

    感觉可以区分公共存储和私有存储
    公共存储按storageName共享,私有存储只有脚本自己能访问到通过uuid辨别?
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2024-3-13 10:14

    • 签到天数: 211 天

    [LV.7]常住居民III

    295

    主题

    3915

    回帖

    3835

    积分

    管理员

    积分
    3835

    管理员荣誉开发者油中2周年生态建设者喜迎中秋油中3周年挑战者 lv2
    发表于 2022-12-16 14:15:45 | 显示全部楼层
    极品小猫 发表于 2022-12-16 12:18
    总之得考虑好各方面的安全问题,毕竟这不是download API加个扩展类型的白名单的事情

    要是API不具备token ...

    @steven026

    关于哥哥说的token是不是就是一个私有的储存空间?

    直接的使用@stroageName来指定公共的储存空间确实容易产生恶意脚本篡改的问题,经哥哥们这么一说,觉得value的@storageName也得加上一些限制。

    文件这里可以和哥哥们说的一样提供两个储存空间,一个私有的储存空间和公有的储存空间,在操作时通过一个参数指定是将文件储存在私有的还是公有的。

    如果是公有的那么将会和GM_xhr一样弹出一个窗口需要用户确认。

    初版先只实现私有的吧,公有的再斟酌斟酌

    点评

    王一之:
    value也应该存在私有和公有的空间,需要将敏感数据存至私有空间  发表于 2022-12-16 14:19
    上不慕古,下不肖俗。为疏为懒,不敢为狂。为拙为愚,不敢为恶。/ 微信公众号:一之哥哥
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2022-3-8 11:41

    • 签到天数: 2 天

    [LV.1]初来乍到

    22

    主题

    862

    回帖

    1361

    积分

    荣誉开发者

    积分
    1361

    荣誉开发者卓越贡献油中2周年生态建设者油中3周年挑战者 lv2
    发表于 2022-12-16 20:31:58 | 显示全部楼层
    极品小猫 发表于 2022-12-16 09:09
    加入Hash校验?
    主要是怕保存重要数据会被恶意读取

    要是能校验就直接require了,这种需求应该是无法提前确定文件内容的。
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2022-3-8 11:41

    • 签到天数: 2 天

    [LV.1]初来乍到

    22

    主题

    862

    回帖

    1361

    积分

    荣誉开发者

    积分
    1361

    荣誉开发者卓越贡献油中2周年生态建设者油中3周年挑战者 lv2
    发表于 2022-12-16 20:41:21 | 显示全部楼层
    我有个简单的想法,脚本猫内置一个UUID算法,然后鼓励开发者都使用UUID作为storageName(公开发布的脚本作强制要求?),这样如果两个毫不相干的脚本使用了相同的UUID,那基本是想干坏事的,审查起来容易点。用户一方可以在安装时检查storageName,有相同的弹警告,用户自己判断两个脚本有没有关联。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2024-3-13 10:14

    • 签到天数: 211 天

    [LV.7]常住居民III

    295

    主题

    3915

    回帖

    3835

    积分

    管理员

    积分
    3835

    管理员荣誉开发者油中2周年生态建设者喜迎中秋油中3周年挑战者 lv2
    发表于 2022-12-16 21:45:56 | 显示全部楼层
    cxxjackie 发表于 2022-12-16 20:41
    我有个简单的想法,脚本猫内置一个UUID算法,然后鼓励开发者都使用UUID作为storageName(公开发布的脚本作 ...

    我还是希望这个有意义一点

    另外脚本也不一定是从脚本站安装去的,可以是其他平台,GitHub等地方
    上不慕古,下不肖俗。为疏为懒,不敢为狂。为拙为愚,不敢为恶。/ 微信公众号:一之哥哥
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2022-11-13 00:00

    • 签到天数: 33 天

    [LV.5]常住居民I

    0

    主题

    19

    回帖

    44

    积分

    初级工程师

    积分
    44
    发表于 2022-12-16 23:56:02 | 显示全部楼层
    王一之 发表于 2022-12-16 21:45
    我还是希望这个有意义一点

    另外脚本也不一定是从脚本站安装去的,可以是其他平台,GitHub等地方 ...

    对每个脚本弄一个独立空间应该就行了吧,脚本之间我觉得不必共享。

    不过就算隔离了各个脚本,电脑里的其他软件还是可以访问这个文件,进而改变脚本的行为。所以最好也对本地文件进行加密,但是这个密码不应该由脚本作者设置,可以是用户自己设置,或者插件随机生成。

    但加解密会影响性能,速度和安全性两难全,我觉得还应该有一些自定义参数,是否加密、所选加密算法这些,只是主密码由系统提供而不是脚本自身。

    另外独立空间还有一个好处,就是用户卸载脚本的时候,可以很方便清理掉脚本生成的所有文件。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2024-3-13 10:14

    • 签到天数: 211 天

    [LV.7]常住居民III

    295

    主题

    3915

    回帖

    3835

    积分

    管理员

    积分
    3835

    管理员荣誉开发者油中2周年生态建设者喜迎中秋油中3周年挑战者 lv2
    发表于 2022-12-17 00:26:02 | 显示全部楼层
    voeoc 发表于 2022-12-16 23:56
    对每个脚本弄一个独立空间应该就行了吧,脚本之间我觉得不必共享。

    不过就算隔离了各个脚本,电脑里的其 ...

    电脑里的其他软件改变这个就不考虑了。。。。。都可以这样了,改变你浏览器/劫持你网页也不成问题

    初步先只实现独立空间,有需求再看看共享空间
    上不慕古,下不肖俗。为疏为懒,不敢为狂。为拙为愚,不敢为恶。/ 微信公众号:一之哥哥
    回复

    使用道具 举报

    下一页 »
    123下一页
    返回列表 发新帖

    发表回复

    本版积分规则

    意见反馈

    yz@ggnb.top

    联系我们

    Archiver|手机版|小黑屋|网站地图| |Sitemap

    Copyright © 2020-至今 油猴中文网 版权所有 All Rights Reserved.

    快速回复 返回顶部 返回列表