适用范围
本页仅针对当前网页端代码和公开提交流程做说明,适用对象是使用 https://bs.wangpanso.top/ 提交表单的访问者。 如果后续服务端或提交通道有新增能力,本页也需要跟着更新。
当前页面会处理哪些信息
| 信息类别 | 用户名、账号、密码、目标步数、验证码输入值、基础访问元信息(例如请求来源 IP)。 |
|---|---|
| 浏览器本地 | 当前前端代码会在 localStorage 中保存用户名回填信息和验证码验证状态,不会把账号密码长期写进浏览器本地存储。 |
| 服务端处理 | 服务端会接收表单字段,用于限流、生成网页用户标识、记录提交结果以及调用已启用的提交通道完成步数同步。 |
| 第三方链路 | 如果站点启用了外部代理或第三方同步通道,对应接口会接收到完成提交流程所需的参数。 |
当前代码审查下的存储与转发边界
审查结论摘要
当前网页代码没有把密码写入浏览器 localStorage,公开网页提交流程也没有把密码写入 `step_records` 记录表; 但为了完成同步,服务端仍会接收密码,并把相关参数转发给当前启用的提交通道。
当前网页代码没有把密码写入浏览器 localStorage,公开网页提交流程也没有把密码写入 `step_records` 记录表; 但为了完成同步,服务端仍会接收密码,并把相关参数转发给当前启用的提交通道。
- 网页端当前可见的本地存储键主要是 `step_username` 和 `step_verification`,用于回填用户名和记录验证状态。
- 公开网页提交流程会创建或更新网页用户标识,并把 用户名、提交账号、步数、成功/失败状态、通道名称、错误信息和时间 写入业务记录。
- 当前仓库代码未见对网页密码字段的公开业务表持久化写入,但密码会参与服务端的实际提交通道调用。
- 如果启用了第三方代理通道,账号和密码会按对应接口协议一起被转发,因此运营方应只保留受信任通道并审查日志策略。
仍需继续完善的地方
目前仓库中尚未看到针对网页提交流程的公开数据保留周期说明,也未看到自动清理策略对外披露。 生产环境建议同时审查数据库、Nginx 访问日志和上游代理日志。
目前仓库中尚未看到针对网页提交流程的公开数据保留周期说明,也未看到自动清理策略对外披露。 生产环境建议同时审查数据库、Nginx 访问日志和上游代理日志。
使用前你应该做的判断
- 尽量使用独立测试账号,不要复用重要账号的长期密码。
- 不要在公共电脑、公共 Wi-Fi 或他人设备上填写敏感信息。
- 使用后可以主动清除浏览器站点数据,避免用户名和验证状态残留。
- 如果你不能接受账号密码被转发到当前启用的提交通道,请不要继续使用公开网页提交功能。
联系与后续更新
如果站点后续补充更严格的日志脱敏、数据清理或提交通道整改,这个页面也会同步更新。 当前网页侧的验证和说明入口仍以首页展示的公众号为准。