大家都知道,github或者任何能渲染markdown文档的地方就能插入一张图片,但有部分人可能不知道,渲染图片的地方也可以放置一个非图片的链接
所以我们可以放置一个我们自己想要用户访问的链接,比如我的
https://ip-getter.sinry.workers.dev/index.html
部署到我们大善人的workers上或者你自己的服务器
等待用户访问结果
最重要的这个markdown访问图片的请求在浏览器network中是不存在的
这是我之前这篇文字佬们的想法收到的启发
(提示:所以小心评论区的佬们也在用小尾巴收集你的IP噢)
溯源钓鱼很好用
有点东西的,但是不敢用自己IP访问,所以。。。
https://1-ip--getter-sinry-workers-dev.translate.goog/index.html?_x_tr_enc=1&_x_tr_sl=en&_x_tr_tl=zh-CN&_x_tr_hl=zh-CN&_x_tr_pto=wapp
{
"ip": "66.249.84.105",
"hostname": "google-proxy-66-249-84-105.google.com",
"city": "The Dalles",
"region": "Oregon",
"country": "US",
"loc": "45.5946,-121.1787",
"org": "AS15169 Google LLC",
"postal": "97058",
"timezone": "America/Los_Angeles",
"readme": "https://ipinfo.io/missingauth"
}
那么说只要支持富文本编辑可以插入链接的都可以这样,其实就是一个get请求收集数据是吧
放心吧,worker现在只能挂代理访问
是这么个理儿,可以发挥想象做一些事
这是怎么做到的,serviceworker 吗?
很神奇,看不到请求
github的markdown 应该修复这个问题的,L站的不行。
GitHub的markdown渲染是通过自己服务器代理的,服务端应该获取的是github地址,而L站是直接访问的会有ip泄露风险。
这个是github渲染图片访问的地址
@neo 建议修复一下这个漏洞
你们太会了!
这并没有什么问题,你访问任何网站都可能被记录IP。但有人能把你的IP跟L站账号关联吗?
此话题已在最后回复的 30 天后被自动关闭。不再允许新回复。