Arc 有一项名为“Boost”的功能,允许用户使用自定义 CSS 和 JavaScript 对任何网站进行定制。 由于在网站上运行任意 JavaScript 代码存在潜在的安全问题,我们选择不将带有自定义 JavaScript 代码的 Boost 分享给其他用户。 但是,我们仍然将它们同步到我们的服务器,以便您自己的 Boost 在不同的设备上都能使用。
我们使用 Firebase 作为 Arc 某些功能的后端(关于这方面的更多信息请见下方),并使用它来持久化 Boost,以便跨设备进行共享和同步。 不幸的是,我们的 Firebase ACL(访问控制列表,Firebase 用于保护端点的方式)配置错误,这允许用户进行 Firebase 请求,在 Boost 创建后更改其 creatorID。 这允许任何 Boost 被分配给任何用户(只要您拥有他们的 userID),从而为他们激活 Boost,导致自定义 CSS 或 JS 在 Boost 活动的网站上运行。