已中招。。。唯一用到的一个引用： https://cdn.bootcss.com/jquery/1.9.1/jquery.min.js

233333，已换百毒的 https://apps.bdimg.com/libs/jquery/1.9.1/jquery.min.js 这种 cdn 就算我不玩了 也会存在吧 （滑稽

滴!....准点报时

@zn #23 引用一句上个贴子人家说的话：半桶水的大佬厉害了

哈哈

楼上那些大佬没搞明白什么原理就喷，够水的。楼主分享的东东不错，学到了一点安全知识

@iwtbauh #71 嗯，遇到过阻止混合内容的情况，以前有次把 http 切换成 https 的时候，功能正常，但图片都没法显示，上线 10 分钟立马回滚，后面发布新版本里设置浏览器允许混合内容后才恢复 https （仅 Android app ）。

----

刚刚把 Secure 选项加到了 SetCookie 方法里
http://wx1.sinaimg.cn/large/a32300cdgy1fvn1glnb29j20n40cq0ti.jpg
代码写的丑，@yc8332 被你言中，满意否~

@iwtbauh 哈哈，刚才没有细看，现在细看了一下，你说的是对的。我收回#65 @ 你 的的第二句。其实我是对你说#11 中“再访问不是 https 的 b.com ”这一句有开始有蛮大意见，https 的 b.com 也是同样的效果。

#70 “ b .c o m 没有用 https 引用 a.c o m 的资源”也同样有意见。是这样咩

@t6attack #60 非也~

-----

你们要的 [简单原理]
根本原因在于 https://exp.com 设置的未带 Secure 选项的 cookie，http://exp.com 发起的请求（划重点，是发请求时，发请求时。。跟响应无关）也会带上此 cookie，从而可以达到中间人"主动提取"用户浏览器中存储的 cookies。

------

[威胁项]
懂了吗？就算上了 https，确实还是要注意一下的地方。


@mytry 针对楼主的 “访问任何一个 HTTP 网页，各大网站的 cookie 都会瞬间泄露” 虽然有点危言耸听， [不过细思极恐] 。


@iwtbauh #11 除了链接非常有用，其他的都是瞎几把扯淡。a 站的 cookie 泄露，跟 b 站是不是 https 没有关系不大，也跟 b 站是 http 还是 https 引用的 a 站资源关系不大。

《脱离框架干不了活系列》

忍不住要放图

http://wx3.sinaimg.cn/large/a32300cdgy1fvgcfzz0g4j20pa0hqdj3.jpg

chrome 65 （只下了这个版本的便携版）相比老版本 Chrome 41 （ 2015 ）控模拟器部分各种难设置

http://wx4.sinaimg.cn/large/a32300cdgy1fvgcfzdoa1j20rz0ifad4.jpg

新版本控制台 Sensors 部分设置会保存吗？

if(保存 || 有设置方法)拥抱新版本~

if(不保存)Chrome 41 万年不升级，谢谢！


chrome 41 模拟器各种方便设置
http://wx3.sinaimg.cn/large/a32300cdgy1fvgcfzz0g4j20pa0hqdj3.jpg


chrome 65 （只下了这个版本的便携版） 模拟器各种难设置
http://wx4.sinaimg.cn/large/a32300cdgy1fvgcfzdoa1j20rz0ifad4.jpg

新版本控制台 Sensors 部分设置会保存吗？

if(保存 || 有设置方法)拥抱新版本~

if(不保存)Chrome 41 万年不升级，谢谢！

谁要敢在我眼皮子底下真写这种代码来用，哼 ~ 算你厉害

要求放低点，有 download 属性的点击一般都会下载，如果跨域你可能不会采用你的文件名。解决办法：把图片文件名和要下载的文件名统一用一个。

终极办法：用 xhr 把图片(设置好 Access-Control-Allow-Origin)数据下载下来拿到 blob 对象，然后上通用下载大法：

var url=URL.createObjectURL(
new Blob(["abcd"],{"type":"text/plain"})
);
var downA=document.createElement("A");
downA.href=url;
downA.download="data.txt";
downA.click();


抄自：/t/488694#reply12

加分号不加分号都是对的，只要运行过程和最终结果符合预期就是 ok 的，管你是不加分号还是漏了分号。

{我是要求加分号}; 不加分号的代码看起来就像光着屁股，没错，看 java 就像是光着屁股的。

写花里胡哨的格式都可以，反正最终压缩成一坨代码，嘿嘿

显示广告就算了，不能接受点一下自动下载，自动安装，网速又快，取消都取消不赢。

开启应用锁，把系统更新、搜索、下载管理、应用商店 统统锁起来。广告不作恶。

另外红米应用管理里面没有出现此类广告，"100%"是被阉割了

参考 #197 的 demo 挺屌的 不过稍微眼花，基本怎么消耗 cpu

@orangeade @littleboyzt 现在用的 MIUI 自带电话录音，有个录音有备无患，关键电话关键事项不怕遗漏

@whileFalse #15 没能一样看出这两张图分别代表什么浏览器，不过看到 getUserMedia 都是 false，这两个浏览器上《凉凉》


@qinxi 看楼上有些可以，好奇怪的系统特性，ios 版 IE

@whileFalse 能不能截下 Chrome 和 Firefox 的截图看看，感觉 Chrome 这个全能选手不应该不支持啊

@wangmn #7 试了一下蛮不错。不过反正轮子已经重复造了一遍，只录音用自己的代码小些，uglify+gzip 后 56k 大小


@xell 嗯嗯，看到 ios12 支持 getUserMedia 差不多就是支持了