第一次看到，居然真的是数字验证码

https://data.datagrand.com/share/sms/getverify?phone=*****&piccode=＊＊＊＊
随便填都能发，真的服气

还带了那多的 cookie 啥的，根本没用

很多这种实现的

安全性……约等于零

前几年预约纪念币的农行，短信验证码发生后手机收不到，但是 F12 可以看到。

我还见过用<input type=hidden /> 装验证码的.

@chinvo 其实是直接等于 0

我朋友之前找我看他找外包做的网站，验证码直接在本地判断，很多外包都是这样搞的吗？

这不是我刚学 JavaWeb 写的验证码吗，当时还琢磨了好一阵。😂

人才啊。。。

这太有才了吧。。。

看来是初出茅庐的小伙子，没经过一些风雨

真的开眼了

用的还是 angular 框架

涨见识了。

还有发短信验证码 response 里自带的

以为用户都是文明人

只防用户，不防同行

<h3>test datagrand</h3>
<div>
<form method="get" action="https://data.datagrand.com/share/sms/getverify" >
<div>Mobile:<br />
<input type="text" name="phone" id="mobile" value="10086">
<input type="text" name="piccode" id="datagrand_piccode" value="">
</div>
<input type="submit" value="Msg!" name="submit">
<input type="button" value="Get Piccode" onclick="GetDatagrandPiccode('datagrand_piccode');">
</form>
</div>

</body>
</html>
<script language="javascript">
function GetDatagrandPiccode(inputid)
{
var requestURL = 'https://data.datagrand.com/share/user/getPicVerify';
var request = new XMLHttpRequest();
request.open('GET', requestURL);
request.responseType = 'json';
request.withCredentials = true;
request.onreadystatechange = function()
{
document.getElementById(inputid).value=request.response.PicCode;
};
request.send();

}

大家好，我就是写出这个安全性很低的达观数据的菜鸟前端，当时需求紧，后端同学也在忙其他项目，就自己乱搞了一下。
感谢各位大大的指正和批评，现在我已经把这个验证码升级到了真正的图片验证码。
今后无论多么急迫的需求我都会按照“正常的套路”实现，这次也算是一个血的教训，感谢大家指出问题。
ps：我们还在招前端大牛，欢迎各位大大来投递简历，来了以后带带我，简历投递邮箱 hr@datagrand.com

@younixiao 当事人？

@younixiao 来迟了 没赶上