如果没有书签的话如何使用 http://toread.cc?

如果没有书签的话如何使用 http://toread.cc?

是否可以使用http://toread.cc无需使用书签?这是一个可以通过电子邮件将您选择的网页发送给您的网站。但使用它的唯一方法是使用书签。有人可以查看书签的 javascript 代码并找到一种解决方法,这样我就不必使用书签了?我听说书签不安全。

答案1

该书签有点隐蔽,因为它是在用户确认电子邮件地址后动态生成的(通过单击收到的电子邮件中的链接)。它看起来像这样:

javascript:(函数(){
  var s = document.createElement("scr" + "ipt");
  s.字符集 = “UTF-8”;
  s.语言 = “javascr” + “ipt”;
  s.type =“text/javascr”+“ipt”;
  var d = 新日期;
  s.src = "http://toread.cc/bjs.php?s=SOME_PERSONAL_ID&d="
    + d.获取毫秒数();
  文档.body.appendChild(s)
})();

以上是加载一些外部 JavaScript 的相当标准的方法每一次它被点击了。

该外部脚本使用一些个人 ID 来知道将结果发送到哪个电子邮件地址。今天,JavaScript看起来危害不大:它会将您正在查看的页面的 HTML 源代码发送到 toread 的服务器,然后服务器会发送电子邮件。因此,toread 会知道 HTML 源代码,这意味着在非常私人的网站上使用此方法时应小心谨慎。

但是:外部 JavaScript可以更糟糕的是:如果该个人 ID 的值很容易被猜到,那么垃圾邮件发送者可以发送他们的页面向该服务的随机用户开放。但如今,该个人 ID 是一个 12 位十六进制代码,因此我怀疑它只是一个任何人都可以随机尝试的递增数字。

我们无法知道外部 JavaScript 是否/何时需求在 toread 服务器上发生某些更改后需要重新加载。因此,回答您的问题:未获取该外部 JavaScript 的最新版本,则不应使用该服务。因此,删除书签也没什么意义。不过,今天看来,这并没有什么害处。

相关内容