百度空间研究:分步骤的屏蔽js函数
看 http://hi.baidu.com/haomm 的时候看到这样一段话:
百度分步骤的屏蔽了很多js函数,屏蔽的函数如:\’javascript\’, \’vbscript\’, \’expression\’, \’applet\’, \’script\’, \’embed\’, \’object\’, \’iframe\’, \’frame\’, \’frameset\’,等等…为什么不一次性屏蔽?可是对于以前已经有的js并没有屏蔽,这样做无疑欠妥,就如看大门的同志阻止小偷进入,可对已经进去的小偷同志或内部小偷不予理睬.例如即使js被过滤后的今天,某比较优秀的空间(为数极少)通过一段已嵌入的js,读取外部的js数据,即可执行任何自己想执行的js代码.
进而发现一篇文章《百度空间存在js破坏漏洞,部分用户被威胁删除数据》,其中有一段比较值得思考:
百度空间的发布,给很多国内网民带来了福音,带来了中国space的希望,但与此同时,百度空间的\”CSS教程\”泛滥至极,访问量从高到低各层次都是在大肆宣传自己复制的css代码(不排除有个别原创),而真正拿hi.baidu.com作为自己space的,专业的博客者很少.百度空间似乎可以更名\”百度css练手空间\”.
文章详细内容:
http://hi.baidu.com/haomm/blog/item/345e367a85754ded2f73b36c.html
从目前百度空间吧的情况看,民间css高手已经出现不少,大众用户玩的也很开心,互踩联盟也在发展壮大。百度正在分步骤的屏蔽js函数,表面貌似很低调没什么动作的百度空间其实正在逐步完善,也许他们正在根据前端运营的需求忙着开发测试新功能。
