我也不知道这个问题是不是菜鸟问题,v2ex上大神比较多,我就跑这里来问了。
最近用美味书签收藏网页,用起来蛮爽,解决了Chrome书签难管理的问题。
一直以来都是点一下书签栏中的“收藏到美味书签的” js脚本来收藏书签。今天读hackernews的时候碰到一个网站
http://val.markovic.io/blog/youcompleteme-a-fast-as-you-type-fuzzy-search-code-completion-engine-for-vim ,想收藏到美味书签,点击脚本,提示我输入用户名和密码,开始没在意,以为cookie之类的过期了,就输入提交了,没想到点击没反应。
我再打开其他的网站,点收藏,可以直接收藏不需要登陆。这时我就纳闷了,打开审查工具。发现点击收藏之后的登陆居然被拦截了,用户名和密码全部被这个网站截取。
点击登陆居然请求了这个URL,
http://val.markovic.io/cdn-cgi/pe/bag?r[]=http%3A%2F%
2Fmeiweisq.com%2Flogin%3Femail%3Dfriskfly%
40gmail.com%26password%3Dzxcvb3%26cb%3Dlogin_cb 很明显我的邮箱和密码都被这个网站记录下来了。
我是前端菜鸟,有几个问题,
1.为什么我的美味书签在这个网站上会被要求登陆
2.在前端怎么拦截这种插入script的请求。
3.怎么防范这种安全问题,密码加密传输?
4.第三个问题,是我看美味书签的这段收藏的js脚本,有一段很不明白。如下:
var host = "
meiweisq.com";
if(host.indexOf('host') > 0) {
host = '
meiweisq.com';
}
第一行明显已经把host写死了,为什么下面判断字符串中有没有host呢?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/59985
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.