本人再举荐一个微博登录的问题:
操作:在微相关页面:比如以下中招的:微访谈(http://talk.weibo.com/)等,就那这举例吧
- 未登录用户,在http://talk.weibo.com/ 站点采用顶导点击登录
- 弹出登录浮层,输入正确的东东
- 咔-----回车,悲剧出现了:当前页面是http://login.sina.com.cn/
-------------------------而不是正常的返回到http://talk.weibo.com/ 的登录状态。
问题:
不会还没有发现问题吧? 亲,登录没有在中间跳转页面成功重定向到登录前的页面
原因:
我来给你分析以下:
经一系列测试回归得出下面真实结论:
因为:
在微访谈的页面配置了:
而这个参数会在登录的时候加上下面这个请求里面
我的疑问就是在这个参数,试验吧这个entry改为空,-------------- 测试通过正常,
那我就各种找其他微应用:其实很少有微***配置这个参数,不过功夫不负有心人,我找到了“微搜索”
而我们在http://s.weibo.com/ 居然可以成功登陆跳转,那我想所有人都有一个想法:
我要把这个可以的entry的值拿过了,放在不是s.weibo.com的其他微应用里面试验,结果:
居然成功了,请注意我的来源不是s.weibo.com,虽然我用了人家的entry,能不能加点验证啊!!!!
总结吧:
文档说的entry是注册的时候用的,但是注册其实就是一个链接:
<a href="http://weibo.com/signup/signup.php?topnav=1&wvr=5">注册</a>
我配置了entry,请问是不是没有读一下啊!!!!!!!!!!
----------- 结论:
在微相关页面,可以配置entry,但是部分值在http://login.sina.com.cn/sso/login.php?entry=*** 会挂掉? (莫非白名单???)
目前给出的方案:
- 要么配entry为空吧
- 要么配entry为“weisousuo” --------- 不”合适“的做法
--------------------------- old 不相关莫看-------------------------------------
本文是个人最近发现的weibo头脚本的一个潜在问题,请指教。
现在很多第三方多会调用微博的:http://js.t.sinajs.cn/t4/home/js/public/topInit.js
目的是:进行微博头调用加载等。
直入主题:
以下是我的操作:
var $CONFIG = {
//..........各种配置
//重点是这个参数,假如我现在是这样写的,而且很多应用可能这么写
backurl:window.location.href
//........
}
下面我们测试一个地址(注意参数!):
//可以是一些应用的地址,只要挂?后面的 //如下是一个测试地址 ********.com/?key="><iframe/onload=document.write(/1111/)>
当然我是在登录以后手动输入以上地址,因为未登录状态重定向后会对字符进行转义。。
我们会发现:
然后就挂了:
当然是ie下才会出现,ie不会对字符转义。
流程其实还是很简单:
topInit 会按照 _wv 调用top.js,
这边:
------------------ 是直接对用户页面的配置参数进行赋值的!!!
问题就这边:
如果像上面我这样操作,就会出现执行脚本!!!!!!
原因还是:
backurl一个地方也没有encode!!!!!!!!!!!!!!!!!!!!!!!!!!
建议:
个人觉得还是top来做encode,或者是否在使用文档里面强烈标注:backurl的参数需要encode一下!!!!!!!
------------本文只是从前端js脚本去考量,当然一般后端也可以做url关键字屏蔽或者重定向等!!!只是探讨技术而已!!
相关推荐
在请教问题时,需准确地将问题归类,有助于找到具有相应专业知识的人进行解答。例如,如果问题是关于数据库查询慢,可能需要从SQL优化、索引设计、硬件性能等多方面进行分析。 在与他人交流问题时,保持谦逊和开放...
Re: anya:请教一个问题 anya Re: 如何给汉字分界? anya Re: 八皇后算法问题请教? anya Re: 急寻图象压缩算法 anya 游戏中最佳路径的问题 anya 平面点覆盖问题求教 anya Re: 平面点覆盖问题求教 anya Re: ...
在实际操作中,可能需要复述或反馈他人的意见,如小明对王老师说:“王老师,打扰一下,我想向您请教一个问题,可以吗?”这既表达了礼貌,也明确了请求。 四、【劝说教育】是针对特定情境中错误言行的纠正,需要...
问题请教高手问题请教高手
请教C语言问题
数学,这个古老的学科,一直以来都是人类智慧的结晶。...每一个问题都是一个引人入胜的探索之旅,激励着数学家们不断前进,追求新的发现和理解。无论是大胆的猜想还是深思熟虑的证明,数学的精神始终在于挑战和创新。
课程内容首先通过一个情景导入的方式激发学生的兴趣,老师以自己即将面临听课的紧张心情为例,向学生们求教如何缓解紧张情绪,从而引入到请教的主题。随后,通过组织闯关游戏的方式,让学生在实践中学习如何向他人...
在这个过程中,引导学生注意请教的技巧,如清晰地表达问题,向别人表示感谢,以及即使无法解答也要礼貌回应。 通过游戏,学生可以实践请教的步骤和注意事项,如: 1. 清楚地陈述需要帮助解决的问题。 2. 无论结果...
您可以创建一个,如果你发现了一个bug,有一个功能的想法,想要说些什么,或者只是想请教一个问题。 请指定正确的标签,谢谢! :) 从2021年2月开始,我的大多数mod再次开始支持1.12.2。 支持是有限的,但是大多数...
【口语交际 学会请教】 在我们的日常生活中,...在请教的过程中,我们不仅能解决问题,还能提升自身的沟通能力和人际关系,使我们成为一个更有智慧和魅力的人。因此,"学会请教"是我们在成长道路上不可或缺的一课。
SQLite的 一个到库的Julia接口。 文献资料 PackageEvaluator 建置状态 安装 该软件包已在,因此可以使用] add SQLite进行安装。... 请打开一个问题,如果你遇到任何问题,或只是想请教一个问题。
如果需要转换多个值,请使用以下格式之一:[1, 2, 3, ...], [1,2,3...], [1 2 3 ...]。 输入溶剂的摩尔质量。 输入密度值(与浓度输入值格式相同)。 选择所需的输出浓度。 按“转换!” 有关转换公式的信息,请...
SVPWMSimulink问题请教-svpwm.mdl 这个论坛里网有上传的SVPWM文件,为什么仿真的时候总是提示TS没有定义,在哪定义TS?
在IT领域,尤其是在科学计算和数据分析中,"计算能带"通常是指电子能带结构的计算,这是一个在固体物理和材料科学中非常重要的概念。能带理论是理解半导体、绝缘体和导体行为的基础,它涉及到量子力学和固体物理学的...
本教学设计主要针对新人教统编版三年级上册语文的“口语交际:请教”单元,旨在帮助学生理解和掌握在不同情境中如何有效地向他人请教问题的技巧和注意事项。教学过程中,通过一系列活动如观察、讨论、角色扮演、互动...
再者,教案中提到的请教顺口溜是一个有趣且易于记忆的工具,它强调了在请教过程中的要点:保持冷静、谦虚求教、语言礼貌、表达清晰、最后不忘致谢。这样的顺口溜不仅有助于孩子记住请教的礼仪,还能鼓励他们形成良好...
2. 故障排查与解决:针对上述问题,运维人员通常会清理日志、检查网络、测试内存、监控负载等来定位和解决问题。通过BMC检测内存故障,使用top命令分析系统资源占用,以及定期清理无用数据,都是常用手段。 3. 监控...
【口语交际:请教】是小学语文教育中的一个重要环节,旨在培养学生的沟通能力和解决问题的能力。在这一教学主题中,孩子们将学习如何在面对困难时礼貌、有效地向他人求助。以下是几个关键知识点的详细说明: 1. **...
例如,教师可以提出问题:“我们应该如何礼貌地向别人请教问题?”让学生自由发表观点,然后教师归纳出关键点,如:使用敬语、清晰表述问题、保持谦虚态度等。这样的互动不仅锻炼了学生的思维能力,也提高了他们的...
总的来说,这个教案旨在教会三年级的孩子们,如何在面临问题时,以礼貌、有条理的方式向他人请教,同时培养他们的沟通能力和人际交往能力。通过这样的学习,孩子们不仅能在学术上得到帮助,还能在生活中建立起良好的...