Tor的Safest级别下无法登录?我没记错的话以前是可以无JS登录的?

以前和现在都不行。因为2047从name时代开始，就会做客户端散列，所以不能去掉js。改版之后的代码已经完全重写，但还是沿用了这个feature，去掉这个功能会造成大量已注册用户无法登录。

另外后端接口也只兼容json，不考虑支持HTML Form。

--

2047有两个登录凭证，一个是cookie，key叫做“id”；另一个是CSRF token，放在localstorage里。你可以把这两个凭证复制出来，用的时候黏贴进浏览器，再刷新页面，和登录的效果是一样的。

这么一说我也想起了, I'm sorry 记错了. 下面一些个人牢骚:
不知您是否看到过, 以前拜登论坛里看到一个回帖, 大致意思是说"thphd的例子证明全站支持无JS比支持JS加密重要一万倍".
另外个人认为反贼论坛功能应该尽可能简单, 比如说只支持必要的纯文本传输, 菜单之类的完全可以让用户自己选择链接来代替, 没必要做的那漂亮, 能用并且足够简单就行(结构越简单出漏洞概率就越小).

thphd的事情不是因为js本身出了漏洞，而是因为他没有给网站做安全配置。在现代的web技术下，如果正确配置了内容安全策略和SameSite cookie，可以从根源上防止XSS攻击和CSRF攻击。

在开发新版2047的时候，我确实测试过无JS的前端，但是测试之后效果并不好。大量iframe会拖慢页面渲染速度，造成代码臃肿，反而增加了复杂度。论安全性，可能还不如js+组件化开发来的好。

网站安全和使用体验都有必要兼顾，因此一定的页面设计和效果是有必要的。一些暗网色情和毒品交易网站的界面十分简陋，只保证最低限度的浏览和发布功能，但除非真的有“特殊需求”，大多数人并没兴趣访问或长期使用这样的产品。