Authenticator 的话，如果是通用的 TOTP 那种 2FA 验证，甚至可以自己在线部署一个。
手机有浏览器就能用。https://github.com/Bubka/2FAuth

不是最佳但管用的方法，将以下两行加入 ~/.bashrc：

export LC_ALL=en_US.UTF-8
export LANG=en_US.UTF-8

@milukun 是不是有代理设置没关：检查 网络偏好设置 - 高级 - 代理
再不行检查你的路由表：netstat -nrfinet
或者尝试重启。

base64 只能防低级的爬虫
你应该让赛方创建一对公私钥，公布公钥，然后所有人用这个公钥加密发过去。只有持有私钥的人才能解密。

延迟低的话或许可做中转，限制只能访问 cf warp ，然后 warp 落地。这样出口 ip 就不是你的 ip 了，然后用户也不用担心隐私泄漏。

如果一定要这么做，至少用上 https 再加一个 basic auth ，使用主密码保护一下。比随机生成的网址要靠谱。

太正常了，长期出差住酒店的体验就是，每到旅游旺季都得算着酒店价格，就怕超出报销额。
上海会更离谱，原淡季 200 一间的房型，旺季能飙升到一天八九百。

@ClarkAbe 或许你可以换一个稍旧一点的版本测试。mihomo 在此工具发布之后已做出改进： https://github.com/MetaCubeX/mihomo/commit/fc9d5cfee944a75b989d17c637a321e73c52093a

因此这个工具针对的是工具发布之前的所有 clash 系列内核和 GUI 版本。包括 verge-rev 在内的各软件都会做出改进：
https://github.com/clash-verge-rev/clash-verge-rev/issues/1792
https://github.com/clash-verge-rev/clash-verge-rev/issues/1783

ClashScan 目的是推进解决安全问题，扫不出来应是最终目的。

@vvhy 合入了 https://github.com/MikeWang000000/ClashScan/pull/1 ，增大了并发数。如果原来能检测，后来检测不到了，可能是并发过大，浏览器没扛住导致的漏检

@aiqinxuancai 实际就是墙了，CF 有很多的 IP ，通过改 hosts 的方式指向新的 IP ，然后新 IP 瞬间就 ping 不通了。
改回来过五分钟左右就恢复能 ping 了。很明显的。

需要国产化的话，找对应厂商做迁移最好。http://www.itsec.gov.cn/aqkkcp/cpgg/
导数据是一部分，SQL 方言和计算表现不一样也会产生各种兼容性问题，需要慎重考虑的。

既然可以指定 cloudflare 的 worker 区域，那应该还可以配合 vless 的 worker 脚本，做到指定地区的 proxy ？

#18 @cleanery mihomo 是刚修好的，他们做了改进。
文中提到的 clash 系列就包括 mihomo ，也就是 meta 。
至于原版的 clash 核心，早删库了，应该不会复活了吧（

#4 @est

1. 访问子域名（例如 example.com 访问 sub.example.com ）是跨域的。
2. 子域名可以修改 document.domain 属性为父域名，避开跨域检测（ sub.example.com 可改为 example.com ）。但是这种操作已被废弃，较新的浏览器都会禁止修改 document.domain 属性。

因此设置域名指向 127.0.0.1 的方法应该不可行。

@SenLief 这次说明的不是公网问题。而是 Clash 的 CORS 设定不合理，可以通过浏览器前端，让浏览器扫到你 127.0.0.1 上的端口，借浏览器跨域控制 clash 。

@ZeroDu
也不完全一样，做了一些加强。

这次想说明，即使改成 127.0.0.1 ，加密码不改端口号，也能通过路径探测到 clash （虽然获取不到节点信息，但是能知道你在用。）当然不加密码更是直接读配置。

———
@y1y1

之所以能成功跨域，是因为 clash 内核的 header 设置了 Access-Control-Allow-Origin: *，相当于解除浏览器跨域限制，欢迎大家来访问。
不过还有一些浏览器像 Safari 限制更严格，https 不能跨域到 http 被拦截，还有一些隐私插件会拦截，所以不是 100%保证成功。

这次做的比较匆忙，是一个粗糙的 demo ，没有太大技术含量。只是为了证明 CORS 的设置不合理，应有配置能默认关闭。

———
@WhatTheBridgeSay

网页“任何网站都能检测”是对 Access-Control-Allow-Origin: *的解释，通配符允许了所有网站。不过确实不够严谨，因为可能还会遇到其他限制。

时间原因，没法做到面面俱到。网页就在 GitHub 上，如果有好的建议欢迎直接提 PR ～

———
对于端口扫描，正常情况下浏览器前端是没法对本地端口扫描的。Access-Control-Allow-Origin: *导致有被扫到的风险。就是这样。

#58 @liuzimin 说的是 9090 的 api 端口，verge 默认是 9097 。

#56 @shizhibuyu2023

部分 clash 客户端，默认配置下（默认端口，无密码验证）：

1. 即使 clash 端口不暴露外部，运行在本地，外部网站也能通过网页调用，读取或者修改 clash 配置；
2. 如果是老版本 clash 核心，利用这种方法，还可以配合（ CVE-2023-24205 ）漏洞，控制整台电脑。

如果加了密码，但保持默认端口：

1. 外部网站也能通过网页调用，根据不同的报错情况，推断出你在使用 clash 。

================

#57 @YCCD

好的反馈！我在 macOS Safari 上测试了一下，Safari 不允许从 https 页面上发起 http 请求。
所以是检测不到的。但是如果 GitHub Pages 是 http 的，那就可以调用了。

#43 @addenvex 是的，即使有密码，返回 401 也能检测到。
请求记录里这些接口会返回 401 ，然后你访问一些其他的路径会返回 404 。通过这些接口路径特征，能推断出 Clash 及其版本号。

#44 @wniming 有一定的推断逻辑在里面，可能你的环境刚好命中特征了。会有误报的可能。