java私货,博客园某开源主题暗藏私货?

最新推荐文章于 2024-04-01 09:44:19 发布
最新推荐文章于 2024-04-01 09:44:19 发布
阅读量115 收藏
点赞数
文章标签: java私货

首先说好本文只是我个人的猜测,如果有不对的地方请及时指正

背景

前些天朋友介绍,看到一个博客园主题,主题的思路很棒,具体怎么棒不表,只是后来看了看源码,发现了一些秘密的东西。

源码地址https://github.com/cjunn/cnblog_theme_atum

发现

神秘的后端请求

首先是这个主题会向主题作者的php服务器发送请求

39c488a16cdf63ba33f3571d644978b1.png

这里我们可以看到是返回一个callback,这一般是解决跨域所采用的jsonp技术

那么jsonp的具体原理是啥?

jsonp原理

因为浏览器跨域机制的存在,如果在对方接口服务器上面并没有做cors相关的操作,那么是请求不到ajax接口数据的,jsonp技术应运而生

浏览器是可以引入外域的js的,并且外域上不需要做任何跨域相关的设置,引入外域js后就可以调用该js里面的函数,所以在接口上传递一个callback,比如

然后那边返回一个js,js的内容为

ttt({'a': 1, 'b': 2})

那么调用ttt函数即可获得这个json数据

后端请求问题点

是不是到现在为止你还是觉得,好像没什么问题啊,他返回一下好像也没问题啊?

但是试想一个,这个callback他是可以在后端任意替换的,比如给你加个js获取你的一些信息,甚至还可以控制你的浏览器一些行为,比如帮他点击一个啥啥啥,可以了解一下Beef

神秘的加密字符串

我看了这个主题占用cpu和内存比较低,所以花了几分钟时间翻了下源码,发现了一些奇怪的东西

我在找上面所说的php请求的时候发现了这个

cf550925250cdd91d971869ebb82e3f4.png

然后跟进去

5ebba312199e868a49829c0820597967.png

继续跟

9359b5d1aa7d75a64508deeee52d6a39.png

有一串加密的东西

看名称像是百度统计,但是你为什么加个密,跟进这个加密函数看看

/**

*

* Base64 encode / decode

* http://www.webtoolkit.info

*

**/

// private property

let _keyStr = ""

_keyStr += "AByz0r4wxs";

// public method for encoding

let encode = function (input) {

var output = "";

var chr1, chr2, chr3, enc1, enc2, enc3, enc4;

var i = 0;

input = _utf8_encode(input);

while (i < input.length) {

chr1 = input.charCodeAt(i++);

chr2 = input.charCodeAt(i++);

chr3 = input.charCodeAt(i++);

enc1 = chr1 >> 2;

enc2 = ((chr1 & 3) << 4) | (chr2 >> 4);

enc3 = ((chr2 & 15) << 2) | (chr3 >> 6);

enc4 = chr3 & 63;

if (isNaN(chr2)) {

enc3 = enc4 = 64;

} else if (isNaN(chr3)) {

enc4 = 64;

}

output = output +

_keyStr.charAt(enc1) + _keyStr.charAt(enc2) +

_keyStr.charAt(enc3) + _keyStr.charAt(enc4);

} // Whend

return output;

} // End Function encode

_keyStr += "KLMCDEtuTUVWX12NOPQk";

// public method for decoding

let decode = function (input) {

var output = "";

var chr1, chr2, chr3;

var enc1, enc2, enc3, enc4;

var i = 0;

input = input.replace(/[^A-Za-z0-9\+\/\=]/g, "");

while (i < input.length) {

enc1 = _keyStr.indexOf(input.charAt(i++));

enc2 = _keyStr.indexOf(input.charAt(i++));

enc3 = _keyStr.indexOf(input.charAt(i++));

enc4 = _keyStr.indexOf(input.charAt(i++));

chr1 = (enc1 << 2) | (enc2 >> 4);

chr2 = ((enc2 & 15) << 4) | (enc3 >> 2);

chr3 = ((enc3 & 3) << 6) | enc4;

output = output + String.fromCharCode(chr1);

if (enc3 != 64) {

output = output + String.fromCharCode(chr2);

}

if (enc4 != 64) {

output = output + String.fromCharCode(chr3);

}

} // Whend

output = _utf8_decode(output);

return output;

} // End Function decode

_keyStr += "lmnopqYZabcdef";

// private method for UTF-8 encoding

let _utf8_encode = function (string) {

var utftext = "";

string = string.replace(/\r\n/g, "\n");

for (var n = 0; n < string.length; n++) {

var c = string.charCodeAt(n);

if (c < 128) {

utftext += String.fromCharCode(c);

} else if ((c > 127) && (c < 2048)) {

utftext += String.fromCharCode((c >> 6) | 192);

utftext += String.fromCharCode((c & 63) | 128);

} else {

utftext += String.fromCharCode((c >> 12) | 224);

utftext += String.fromCharCode(((c >> 6) & 63) | 128);

utftext += String.fromCharCode((c & 63) | 128);

}

} // Next n

return utftext;

} // End Function _utf8_encode

_keyStr += "35RSJFGHIvgh";

// private method for UTF-8 decoding

let _utf8_decode = function (utftext) {

var string = "";

var i = 0;

var c, c1, c2, c3;

c = c1 = c2 = 0;

while (i < utftext.length) {

c = utftext.charCodeAt(i);

if (c < 128) {

string += String.fromCharCode(c);

i++;

} else if ((c > 191) && (c < 224)) {

c2 = utftext.charCodeAt(i + 1);

string += String.fromCharCode(((c & 31) << 6) | (c2 & 63));

i += 2;

} else {

c2 = utftext.charCodeAt(i + 1);

c3 = utftext.charCodeAt(i + 2);

string += String.fromCharCode(((c & 15) << 12) | ((c2 & 63) << 6) | (c3 & 63));

i += 3;

}

} // Whend

return string;

} // End Function _utf8_decode

_keyStr += "ij6789+/=";

export default {

i: (message) => {

return encode(message);

},

o: (ciphertext) => {

return decode(ciphertext);

},

}

这个函数自己跑一下,跑出来是 https://hm.baidu.com/hm.js?ae80cc662109a34c868ba6cbe3431c8d 这个百度统计地址

然后在初始化的时候,也就是你每次进网站的时候

bb676cafe5104ba896b3847549b10a5c.png

每次进网站调用这个函数 initBaiduCount()

并且加了个路由守卫调用 pushBaiduCount()

可能有的人不理解路由守卫是什么,路由守卫就是一个hook钩子,在你每次进入或离开路由,或者说该网站的页面时调用,比如这里是进入一个新路由的时候就调用一下,跟进去看看

fa1d42735046c339ea48b51145f56851.png

这里是插入了百度统计代码

我的疑惑点

我不太懂百度统计是什么东西,一直认为就是一个管站点流量和访问量的,也不知道有啥其他东西

我说下我觉得可疑的点

我姑且认为是为了给自己的博客进行统计,但是这其中为什么大费周章去加密解密,这个我不太理解

还有的是这个加密的js去掉了后缀js,这样github就没法检索分析代码了,不把代码down下来应该是只能硬找

我看了下,其实并没有用到自建php服务器上的东西,最开始以为是反代博客园转化为接口,但是我看了下请求,全都是只有callback,返回的一个字符串,我实在想不到是有什么必要进行这个操作,目前看起来是没有价值的

所以问题来了:

添加了百度统计,但是大费周章加解密,看起来并不是让用户可自定义的项或者不是大大方方给人看的东西?

这个php服务器主要用处是什么?目前的callback看起来是毫无意义的,还是真像我所想的,方便以后做一些事情?

b739ec46bb5c46d9c0aa4ce35ba1ea56.png

关于找一找教程网

本站文章仅代表作者观点,不代表本站立场,所有文章非营利性免费分享。

本站提供了软件编程、网站开发技术、服务器运维、人工智能等等IT技术文章,希望广大程序员努力学习,让我们用科技改变世界。

[博客园某开源主题暗藏私货?]http://www.zyiz.net/tech/detail-134564.html

程序员道道
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cnblog-theme-simpcode:一款简单干净的博客园主题
05-23
cnblog-theme-simpcode 一款简单干净的博客园主题,示例博客: 一、准备 在开始之前,必须要确保你已经申请了博客园 JS 权限,具体申请过程就不详细介绍了,读者自行网上搜索,很简单的。 本皮肤如果经常逛博客的读者应该很熟悉,很多博主都在使用。最原始的皮肤主人也无从考证了。这个皮肤是博主自己整理调整出来的,并添加了一些易用的功能例如目录,代码高亮等。 二、开始 博客皮肤默认选择SimpleMermory 三、页面定制CSS代码 page.css,将里面的内容 Copy 到 页面定制css代码 框中,同时将选项禁用模板默认CSS勾上。 如果需要修改博客上面的那个头像,可定位到如下css 代码进行修改: #header::before { background-image: url(//images.cnblogs.com/cnblogs_com/noobgod/130
cnblogs美化资源汇总
yubaby
01-10 186
博客园主题——atum2.0https://www.cnblogs.com/cjunn/#/c/subject/p/14542858.html 简约主题simple-colorhttps://www.cnblogs.com/yjlaugus#/c/subject/p/11529055.html reacghttps://www.yuque.com/awescnb/user Silence - 专...
探索CNBlog主题Atum:优雅与功能并存的博客解决方案
gitblog_00092的博客
04-01 290
探索CNBlog主题Atum:优雅与功能并存的博客解决方案 项目地址:https://gitcode.com/cjunn/cnblog_theme_atum 项目简介 Atum 是一个为CNBlog精心设计的主题,由cjunn开发,旨在提供一种现代、简洁且高度可定制的博客布局。这款主题不仅注重美观,而且强调用户体验和功能性,使得个人或团队博客能够更好地展现内容,吸引并留住读者。 技术分析 Atum...
博客皮肤
Mrerlou的博客
07-21 335
页面定制 CSS 代码 *,.Cal{padding:0}::-moz-selection{background:#807dd4;color:#FFF}::selection{background:#807dd4;color:#FFF}::-webkit-selection{background:#807dd4;color:#FFF}::-moz-selection{background:#...
jsp界面对密码进行加密,后台解密
热门推荐
wl_sqfn的博客
04-16 1万+
jsp界面对密码进行加密,后台解密 jsp界面部分 第一步:添加js (命名为Base64.js) //base64加密 解密 /* //1.加密 var result = Base.encode('125中文'); //--> "MTI15Lit5paH" //2.解密 var result2 = Base.decode(result); //--> '125中...
微信聊天记录做成词云的私货.rar
06-01
在本项目中,"微信聊天记录做成词云的私货.rar" 是一个压缩包,它包含了一整套将微信聊天记录转化为词云图的资源。词云,又称文字云或标签云,是一种可视化技术,通过将文本中的关键词以不同大小的字体呈现,形成一...
Coishi:运行在Android上的QQ机器人
03-07
本项目使用GPL3.0协议开源,并且由于特殊原因可能随时删除项目4.这个机器人是给我自己用的,里面可能会有大量私货,具体看原始代码5. 使用 开始使用 根据来开始使用吧! 指令列表 点击查看全部指令 鸣谢 使用作为API...
mycat2-example
05-26
2.代码越简单越好,不要引入私货 3.mycat的使用的测试schema是test,test2,test3,test4,table是travelrecord,travelrecord2,travelrecord3.... CREATE TABLE `travelrecord` ( `id` bigint(20) NOT NULL, `user_id` ...
talkischeap:请跳转到仓库网页查看: https
04-13
夹带的私货大概是写作时自己产生的其他理解会被融入到叙述、演示和代码中。请注意,本仓库中的大部分内容你都能在互联网上找到相似程度极高的内容。本仓库所做的就是把它们夹带私货之后连在一起。 __还有一件事,这...
OpenWrt SP 基于OP官方主分支 HX上网/IPv6/多拨/DOCKER/Alist/应用商店等(适用于X86-64位)
06-05
固件使用的项目皆使用开源代码实现,决不夹杂任何私货,固件本身无任何添加及广告推广,不搜集任何用户数据,请放心使用 这个版本因为使用官方源码和易有云的部分源码,所以被命名为SP版,就是特别版本的意思 如果...
js base64加密解密
Yangjie_iii的博客
01-10 286
最近做的一项目,遇到一个要求前端base64加密之后在传到服务端,可能是对方对安全的重视,而且我也没有遇到过这种问题,所以困扰了我半天的时间。直接上代码,希望可能帮助到困扰的前端同伴们。 base64.js function Base64() { // private property _keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefg...
博客园个性主题使用-快速上手
geekswg
06-05 510
主题源作者: 传送送门 :https://www.cnblogs.com/cjunn/ 主题截图 : 博客申请 js 权限 快速上手 打开博客设置页面 => 设置=> 博客皮肤 => 选择 custom=> 在 首页 html 输入框中 输下面的代码 <script> $("link").remove();$("scrip...
微信小程序消息推送
u012746918的博客
11-13 3056
一、先从模板库中选出自己的模板 二、拿到formId给后台,用于发送模板消息 wxml代码: <form bindsubmit="submit" report-submit='true' > <button form-type="submit" type="default" size="mini">提交</button> </form>...
Silence java_Silence - 专注于阅读的博客园主题
weixin_28810909的博客
02-19 129
本文于2019年08月13日重新编辑。介绍一款专注阅读的博客园主题,主要面向于经常混迹 博客园 的朋友。其追求大道至简的终极真理,界面追求简洁、运行追求高效、部署追求简单。特性???? 简洁优雅、精致漂亮的 UI 设计。???? 提供多种风格主题以便适应各类用户的偏好。❤️ 响应式设计,兼容手机端浏览器。???? 提供事无巨细的部署文档。???? 源码结构清晰并且注释完整,方便扩展。开发请先确保您正在使用的机器已经安装 ...
加密方法
gong1422425666的博客
11-10 557
本文实例讲述了JS实现的base64加密、md5加密及sha1加密。分享给大家供大家参考,具体如下: 1、base64加密 在页面中引入base64.js文件,调用方法为: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 base64加密   var b = new Base64()
uniapp base64加密
偷喝汽水的博客
07-19 4788
项目目录下 新建公共方法文件夹 建 js方法文件 js 方法内容: //加密、解密算法封装: function Base64() { // private property let _keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="; // public method for encoding this.encode = function(input) { var outpu...
base64的js实现
:)
04-26 1279
写了一个js类,可以方便base64加密解密: [code="javascript"] /** * * Base64 encode / decode * * @author haitao.tu * @date 2010-04-26 * @email tuhaitao@foxmail.com * */ function Base64() { /...
Java软件开发实战 Java基础与案例开发详解 19-7 综合示例 共10页.pdf
最新发布
07-07
完整版:https://download.csdn.net/download/qq_27595745/89522468 【课程大纲】 1-1 什么是java 1-2 认识java语言 1-3 java平台的体系结构 1-4 java SE环境安装和配置 2-1 java程序简介 2-2 计算机中的程序 2-3 java程序 2-4 java类库组织结构和文档 2-5 java虚拟机简介 2-6 java的垃圾回收器 2-7 java上机练习 3-1 java语言基础入门 3-2 数据的分类 3-3 标识符、关键字和常量 3-4 运算符 3-5 表达式 3-6 顺序结构和选择结构 3-7 循环语句 3-8 跳转语句 3-9 MyEclipse工具介绍 3-10 java基础知识章节练习 4-1 一维数组 4-2 数组应用 4-3 多维数组 4-4 排序算法 4-5 增强for循环 4-6 数组和排序算法章节练习 5-0 抽象和封装 5-1 面向过程的设计思想 5-2 面向对象的设计思想 5-3 抽象 5-4 封装 5-5 属性 5-6 方法的定义 5-7 this关键字 5-8 javaBean 5-9 包 package 5-10 抽象和封装章节练习 6-0 继承和多态 6-1 继承 6-2 object类 6-3 多态 6-4 访问修饰符 6-5 static修饰符 6-6 final修饰符 6-7 abstract修饰符 6-8 接口 6-9 继承和多态 章节练习 7-1 面向对象的分析与设计简介 7-2 对象模型建立 7-3 类之间的关系 7-4 软件的可维护与复用设计原则 7-5 面向对象的设计与分析 章节练习 8-1 内部类与包装器 8-2 对象包装器 8-3 装箱和拆箱 8-4 练习题 9-1 常用类介绍 9-2 StringBuffer和String Builder类 9-3 Rintime类的使用 9-4 日期类简介 9-5 java程序国际化的实现 9-6 Random类和Math类 9-7 枚举 9-8 练习题 10-1 java异常处理 10-2 认识异常 10-3 使用try和catch捕获异常 10-4 使用throw和throws引发异常 10-5 finally关键字 10-6 getMessage和printStackTrace方法 10-7 异常分类 10-8 自定义异常类 10-9 练习题 11-1 Java集合框架和泛型机制 11-2 Collection接口 11-3 Set接口实现类 11-4 List接口实现类 11-5 Map接口 11-6 Collections类 11-7 泛型概述 11-8 练习题 12-1 多线程 12-2 线程的生命周期 12-3 线程的调度和优先级 12-4 线程的同步 12-5 集合类的同步问题 12-6 用Timer类调度任务 12-7 练习题 13-1 Java IO 13-2 Java IO原理 13-3 流类的结构 13-4 文件流 13-5 缓冲流 13-6 转换流 13-7 数据流 13-8 打印流 13-9 对象流 13-10 随机存取文件流 13-11 zip文件流 13-12 练习题 14-1 图形用户界面设计 14-2 事件处理机制 14-3 AWT常用组件 14-4 swing简介 14-5 可视化开发swing组件 14-6 声音的播放和处理 14-7 2D图形的绘制 14-8 练习题 15-1 反射 15-2 使用Java反射机制 15-3 反射与动态代理 15-4 练习题 16-1 Java标注 16-2 JDK内置的基本标注类型 16-3 自定义标注类型 16-4 对标注进行标注 16-5 利用反射获取标注信息 16-6 练习题 17-1 顶目实战1-单机版五子棋游戏 17-2 总体设计 17-3 代码实现 17-4 程序的运行与发布 17-5 手动生成可执行JAR文件 17-6 练习题 18-1 Java数据库编程 18-2 JDBC类和接口 18-3 JDBC操作SQL 18-4 JDBC基本示例 18-5 JDBC应用示例 18-6 练习题 19-1 。。。
100款古风PPT (60)(1).pptx
07-06
【ppt素材】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
cloud alibaba
08-26
Cloud Alibaba是阿里巴巴提供的一站式微服务开发解决方案,是阿里巴巴公司在Spring Cloud体系下的开源中间件。它包括阿里云对象存储服务(OSS)和其他一些组件。阿里巴巴推出Spring Cloud Alibaba的主要目的是通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值