关于 ilidilid 这个 b 站镜像网站

view-source:http://www.ilidilid.com/

@janxin 它不是 iframe 一个自己域名下的 http://www.ilidilid.com/bilibili，我想知道，它怎么获取的登录状态

据说 nginx 反代是可以跨站读取 cookies 的?
不知道哪儿看得文档里说的,错了轻拍

我以为是克隆的那种，没想到还真的是镜像..................说不定人家只是反向代理？

为什么是倒的。。。

刚看了下,似乎是 ilidilid.com/bilibili 负责反代,然后 ilidilid 用 iframe 镜像?
对这方面不太熟悉

@dfly0603 反代的话在 b 登录后不会传递 cookie 给 i 的吧。。。
要么是 b 自己的人干的...

何不换一个思路，有可能就是 B 站自己弄的一个镜像站呢。(滑稽)

不过查了一下服务器在阿里云 BGP 数据中心，而且域名是在 2014 年注册的。并且首页那个拜年祭的网页并没有被镜像，所以有可能楼上说的对，先反代，然后再镜像。

反代 很多跨域禁止的错误信息 cookie 也是 bilibili

打开了新世界的大门。。。

@dfly0603 我试了下 nginx 反代理
```
location /bili {
proxy_pass http://www.bilibili.com/;
}
```

然后 1.html 页面嵌入
```
<iframe src="http://www.v2ex.com/bili" frameborder="0" height="100%"></iframe>
```

由于 b 站是做过防 iframe 处理的，所以 1.html 加载完成后，是直接跳转到 b 站的

真的是镜像啊

@ljy2345 

nginx 有个 proxy_cookie_domain 设置可以替换掉 cookie 的域，反代一般都要设置这个的

似乎还不止 ilidilid 这个网站，

打开了新世界的大门

hhh，打开新世界，我不认识汉字了，真*镜像站点。

B 站居然没做防 iframe 嵌套？

@dfly0603 那个微博发了个聊天记录说貌似真的是 b 站员工无聊搞的
@Biwood 首页当然做了，但是我也不知道为啥更改 top 的 location 地址栏没变

@Biwood 顺便提一下，b 站不仅做了防嵌套，当你 iframe 嵌入的时候他的服务器会记录日志
所以你说 b 站不知道有人在嵌他么
一开始我以为一个手游坟场也没时间管这些

连视频都是镜像播放的。。。。

内部人员私下维护的……

用户信息都是用 jsonp 请求 data.bilibili.com 来的，ilidilid 那个应该只是个静态站点

@xavierskip 视频不是镜像的啊。。。我用的手机。。难道 flash 加了 buff?

dilidili 域下面根本就没 cookie 啊。。
随便看看，B 站前后端分离做的挺干净的，登录数据好像在 http://api.bilibili.com/x/web-interface/nav 接口，这个反代啊又没有反代接口，接口还是走 bilibili 域的，那之前的 cookie 直接用就行了呗，没啥操作

@jin5354 

这个应该很简单吧。用 php 的 file_get_content("http://www.bilibili.com");就可以获取页面了，不需要 iframe

@deepred cookie 的 domain 属性是域

@jin5354 那个 domain 是 ilidilid 设置的吧，如果 ilidilid 网站下没有 cookie,登陆 ilidilid,chrome 控制台是看不到 cookie 的

@deepred 你需要补一些基础知识。。
1. cookie 跨域设置有限，domain 为 b 站域的 cookie 肯定是之前 b 站所设置的，不会是 d 站设置的，你上 b 站对比下两者的 cookie 连过期时间都一样，就是同一份
2. chrome 控制台这里的展示只是一种组织形式，左边是 document，这个 document 下属的所有 nest frame 和 resource 用到的 cookie 都列出来了，cookie 的所属域只看 domain 属性就够了，见 https://developers.google.com/web/tools/chrome-devtools/manage-data/cookies

赶路回来上班，手机打字匆忙见谅

有意思啊有意思。

如果域名变成 com.ilidilid.www 就更完美了

@jin5354 多谢

@K1W1 不是 moc ？

@devotenimabi #34 ，新年第一个 bug

真镜像站，遭不住

标题没有镜像...

css：

transform: scaleX(-1);

域名都是镜像的牛了

这是单点登录的一种方式吧。
由于用户信息是异步跨域获取的，跨域请求带上的 COOKIE 是异域的 COOKIE，而非本域的 COOKIE，所以无需额外在本域再设置一个 COOKIE，而是直接共享异域的 COOKIE。
不过这个 JSONP 不知有没有做来源过滤的限制，如果没限制，那可能有被第三方盗取的风险。

@K1W1 moc.ilidilid.www

惊人

@nmdx 除了 flash。

@nothiner mo.ilidilid.www

手机 UA 打开这个域名有惊喜

@K1W1 com.ilidilid 可以的！

有点意思

http://www.ilidilid.com/bilibili
实际就是这个怎么拿到的 cookie
其实没有的，所有请求还是发到了 api.bilibili.com 上，服务器没有限制的话数据就显示出来了

不过总感觉这样好危险啊，就不会被拦截到数据吗，虽然不是什么重要的数据

```Javascript
const Observer = new MutationObserver(mutatiOns=> {
mutations.forEach(mutation => {
mutation.addedNodes.forEach(addedNode => {
if (addedNode.nodeName === 'SCRIPT') {
const callback = addedNode.src.match(/callback=(.*?)&/)
if (callback !== null) {
const cb = callback[1]
const cbbak = window[cb]
window[cb] = (d) => {
cbbak(d)
console.log(d)
}
}
}
})
})
})
Observer.observe(document.head, { childList: true })
```

@lzvezr 搜索 JSONP Hijacking

哈哈哈哈太好玩儿了

笑死我了...

@jin5354 对哦，jsonp 完全可以拿到自己的站上，何必这么麻烦

哈哈哈哈，真是镜像站啊...

艾玛啊 真镜像站啊，点开楞了好半天感觉怎么不太对

maybe :
http://www.udiab.net

我的鼠标手势都被它反过来了==

“请问，这个反向的 b 是怎么打出来的？”

网站被访问趴了么……打不开了啊

iframe { -webkit-animation: mirror forwards 0s; }

视频是正的

有意思...
真镜像站..

你们仔细看，有些汉字本身是镜像的，有些只是顺序镜像了，字还是原来的字，这是为什么？

厉害了
哈哈哈

<script type="text/Javascript">//防嵌入
(function(){try{if(parent!=self && (parent.document.domain!=document.domain || (document.referrer && !/^http(s)?:\/\/[.\w-]+\.bilibili\.com\//i.test(document.referrer)))){throw new Error("can't be iframed");}}catch(e){window.open(location.href, "_top");}})();</script>
如果能把这段代码禁用掉就好了

@shintendo css transform: scaleX(-1);

@devotenimabi 为什么有些字镜像了，有些字没有镜像只是顺序颠倒？

真 镜像

我手动输入的是 ilibilib.com
于是跳转到了快视频。

哈哈哈 厉害厉害 真镜像

@weiyichen2011 可以再开一贴了哈哈

@weiyichen2011
还真是跳转到快视频了

这个就越来越有趣了

这个域名如果是个人的话，那这人就有点搞事情了啊 2333

@xider 这都能碰到你啊 哈

楼主的昵称有点熟悉

transform: scaleX(-1);

@weiyichen2011 是因为你输错地址了

@ivydom 关注大佬蛮久了

@weiyichen2011 什么快视频？明明就是猴视频（滑稽）