sho-luv/spider

# spider

一款用于安全侦察的感知 JS 的 Web 爬虫。它会在 **headless Chromium 中渲染每一个页面**，因此无论网站是如何构建的——服务端渲染的 HTML、React/Vue/Angular SPA、懒加载路由，还是 JS 注入的链接，它都能看到内容。在每个页面渲染时，它还会**捕获网络流量**，从而显示出普通的 HTML 解析器永远无法看到的 XHR/`fetch` API endpoint。 其目标是全面展示目标的攻击面：每一个 URL、endpoint、表单、parameter、脚本和链接——无论是内部还是外部的。 ## 捕获内容 - **页面** — URL、HTTP 状态码、重定向后的最终 URL、content-type、标题、深度，以及发现该页面的来源页面。 - **Endpoint** — 渲染时发出的真实请求（文档、XHR、`fetch`、脚本、图像等），加上从内联 JS 和 HTML 中*推断*出的 URL/路径。每个 endpoint 都会记录观察到的 HTTP 方法和资源类型，以及是否在范围内。 - **表单与 parameter** — 每个表单的 action、method，以及输入名称/类型（parameter 攻击面）。 - **脚本** — 加载的外部 `