应该改什么配置

那怎么避免呢？？？如何修改默认配置？

有点吓人哦，怎么把我服务器的配置给读出来了？什么原理？

一个解决方法：使用 NoScript 浏览器扩展屏蔽网页对本地网络发起的请求

路由上跑的，检测不到

1 clash 核心默认打开外部控制功能
2 clash 核心的外部控制功能就是允许跨域的（不然无法使用第三方的外部控制功能 GUI
3 @ffnil 浏览器必然是允许第三方网站读取局域网 ip 资源的
4 @s4d 设置外部控制功能的密钥

其实让这些软件提供个开关切换 启用 / 禁用外部控制功能 即可解决这个问题，楼主的项目正好引发了这个需求

不是很懂这个原理，不过我的没扫描出来。PC 本地跑 tun 模式。
https://i.imgur.com/8SsiLP9.png

@s4d clash 的 gui 你点击打开，相当于在本机运行了一个程序在 127.0.0.1 的某个端口，知道一些 clash 的内部接口，比如获取节点的，然后调用这个接口可以了。
http://127.0.0.1:9097/proxies 比如这个接口，就可以获取 clash 的所有代理节点

我看了目前在用的机场给 clash 下发的配置都开了这个 external-controller 还是用的默认 9090 端口没加鉴权，
这么大个漏洞居然现在才发现( ╯□╰ )

127.0.0.1 的还好
openclash 那个如果不是 127.0.0.1 的才危险