风险警告：支付宝流程设计存在安全缺陷，会导致跨域攻击，咸鱼/淘宝交易慎扫不明二维码

https://www.v2ex.com/t/937597
这里有讨论了

太可怕了

最重要的还是不要点开或扫描别人发来的任何链接、图片

由此引出另一个话题“这应该算通过支付宝漏洞偷钱吧？支付宝应该会赔付的。”支付宝对此需要负责吗？
另外提一嘴，现在收货无论是否咸鱼，淘宝，京东，都不需要输入密码了，在流程没问题的情况下这是安全的。

这算是 csrf 么

这不得申请支付宝赔偿，hhhh ，牛批，设计缺陷

@SelectLanguages ios 淘宝我记得确认收货是需要过 faceid 的，如果我没有设置 faceid 支付，应该就是要输入密码

@banliyaya 现在不用了，我支付宝没设置面容，现在确认收货也没让输密码了

程序的逻辑也存在一定的问题，订单号对应的金额和支付的金额不一样 怎么就随便能返回到前端去了

蹲一个后续 这应该算是支付宝的严重漏洞了

@banliyaya 并不需要，你可以尝试一下最新版淘宝 10.23.20(ios 版)，刚才试了下，点击收货就行了，不需要密码 or 人脸。

这视频录的也是醉了，360P 这谁能看清

@autoxbc #12
楼主转载的问题，原视频在 https://t.me/MyOutsider/263
楼主截图的是 https://t.me/sohadays/4782

很多人没有看懂是什么意思，是这样的：
你扫了码，页面上写着 1 分钱保价
你点击了支付，弹出支付宝组件，输入密码确认
实际发生的：
你点击支付，骗子的网站用 JSB 调用确认收货接口，支付宝弹出组件，需要密码验证，你输入密码验证

实际上你根本没有被扣 1 分钱或者 1 块钱，钱只是用来麻痹你，让你觉得输入密码是正常行为的操作
你输入的密码，实际上是确认收货用的

@pkoukk 正解，我也是刚刚突然理解过来了，页面表现就是用支付行为掩盖确认收货行为。 这就是为什么片子要自己做一个假网页的原因