iOS轻舟网络验证(H5)对接与使用说明 · 高级版
覆盖 fishhook.html(验证页)与 功能.html(功能页)的页面职责、加密通信、签名与时间窗校验、成功后跳转与功能调用策略。
就绪状态:示例已包含防直进门禁、复制代码、滚动进度、目录联动等增强交互。
一、文件与职责
- fishhook.html:激活校验页面。采集激活码→XOR+B64加密→POST后端→解密回包→校验 sgin/ts/uuid → 缓存并跳转功能页。
- 功能.html:功能示例页面。内置门禁脚本,未验证则重定向;通过后方可触发示例功能(依赖 h5gg 的能力)。
localStorageCORS时间窗签名校验
二、快速接入
- 部署 fishhook.html 与 功能.html 于同一目录,配置 HOST/APPID/APPV/XOR_KEY/FEATURE_PAGE。
- 在 功能.html 顶部加入门禁脚本,并与验证页共享 STORAGE_KEY/VERIFY_PAGE。
- 同域或开启 CORS;跨域需放行 Origin/Methods/Headers。
- 输入测试激活码验证链路,检查日志、时间窗与签名结果。
关键常量(示例)
const HOST="https://你的接口";
const XOR_KEY="xOrK3y123";
const APPID="123123";
const APPV="1.0";
const TS_WINDOW=300;
const STORAGE_KEY="xTcAwvyFDr9CujLx";
const FEATURE_PAGE="功能.html";三、验证流程(fishhook.html)
- 采集输入:用户输入激活码并提交。
- 构造负载:生成 uuid/appid/appv/ts/auto JSON。
- 本地加密:XOR(XOR_KEY)→ Base64,得到密文。
- 发起请求:fetch(HOST,{method:"POST",body:encB64}).
- 解密回包:Base64 解码 → XOR 还原 → 明文 JSON。
- 安全校验:校验时间窗 ts、签名 sgin=SHA256(YYYY-MM-DD HH:mm)、以及 uuid 一致性。
- 通过判定:state=="success" & date=="99999" & code 匹配。
- 落盘跳转:写入 localStorage[STORAGE_KEY],提示到期信息 → location.assign(FEATURE_PAGE)。
四、门禁脚本(功能页防直进)
<script>
const STORAGE_KEY="xTcAwvyFDr9CujLx";
const VERIFY_PAGE="fishhook.html";
document.addEventListener("DOMContentLoaded",()=>{
if(!localStorage.getItem(STORAGE_KEY)){
alert("请先完成激活验证");
location.replace(VERIFY_PAGE);
}
});
</script>五、验证成功后:功能调用
功能页按钮绑定对应函数;如涉及内存搜索/写入需依赖 h5gg 运行环境,在支持的容器内加载 H5。
function enableSpeed(){}
function disableSpeed(){}
function enableLoot(){}
function enableTeleport(){}
function changeWeapon(type){}若未检测到 h5gg,相关操作将无效或报错,建议在目标容器内联调。
六、通信协议与安全要点
- 请求体:JSON(code/uuid/appid/appv/ts/auto)经 XOR + Base64 后以 POST 发送。
- 响应体:同样经 XOR + Base64 的字符串;前端解密为 JSON。
- 时间校验:对比回包 ts 与本地时间(≤ TS_WINDOW),超出拒绝。
- 签名校验:以 YYYY-MM-DD HH:mm 计算 SHA-256 与 sgin 比对。
- 跨域:跨域需开启 CORS。
- 存储:仅成功时写入 localStorage。
七、调试与排错
- 网络/CORS:后端放行 Access-Control-Allow-Origin/Methods/Headers。
- 回包解密失败:检查 XOR_KEY 与响应是否为纯文本。
- 时间窗异常:确保 ts 与本地误差 ≤ TS_WINDOW。
- 签名不匹配:核对服务端签名粒度。
- 解绑提示:当回包含 need_manual/解绑 或 uuid 不一致时提示人工处理。
八、二次开发建议
- 升级为 HMAC-SHA256 或 非对称签名 强化安全。
- 功能页加入 h5gg 注入检测与友好提示。
- 服务端增加 rate limit 与 IP 频控。