QQ用了好多年，但昨天才開通QQ空間，我一直感覺QQ空間太幼稚，太花，本身的博客系統(tǒng)也不成熟， 以前QQ空間是可以復(fù)制代碼進(jìn)行控制頁面的，同時(shí)騰訊也開放了一些端口，但現(xiàn)在呢？ 其實(shí)這正是騰訊對QQ空間發(fā)展的一小步計(jì)劃罷了，起初沒有太多人用，鐘對的是年青人群，正好QQ空間可以通過一些腳本代碼來控制頁面的美觀和顯示，基本能讓用戶根據(jù)自己的喜好而定，這是當(dāng)時(shí)別的博客系統(tǒng)是沒有的，正是因?yàn)檫@一點(diǎn)，吸引了大量的人群。隨著注冊流量的增加，人氣自然不會(huì)少，但別的問題又出來了，大家都復(fù)制代碼，這對騰訊的服務(wù)器自然也是一個(gè)很大的問題，首先就是安全問題，這一點(diǎn)其實(shí)也是騰訊也不是傻瓜，一開始就預(yù)料到了，現(xiàn)在人氣足了，注冊量已經(jīng)達(dá)到了國內(nèi)博客系統(tǒng)之首，這時(shí)騰訊就把可以通過一些腳本代碼來控制頁面的功能關(guān)了，想向從前靠代碼美化頁面的日子已經(jīng)成為了歷史，如果你想讓自己的頁面更美，那就只能通過一些增值業(yè)務(wù)來進(jìn)行改變（如開通黃鉆，等），這正是騰訊一直期盼的----那就錢！！ 好！言歸正傳..... 因?yàn)檎加脙?nèi)存和CPU都比其實(shí)的版本相對少，所以一直用TM，但當(dāng)我昨天在TM面板上打開QQ空間想修改一篇日志的時(shí)候， 找了半天也找不到編輯的按鈕，真夠納悶的！難到我太笨了？我用朋友的電腦登陸QQ，同樣在QQ面板上直接打開空間，卻可以在日志首頁看到編輯按鈕，問題出來了！ 為什么會(huì)這樣呢？同為B/S系統(tǒng)，同一個(gè)公司的軟件，而且是同一個(gè)用戶的QQ號的空間，打開空間卻有不同的結(jié)果，造成這樣的原因只有一個(gè)問題，那就是同一個(gè)軟件不同版本進(jìn)行傳參數(shù)的時(shí)候出了問題，不過像這種低級錯(cuò)誤我認(rèn)為不應(yīng)該在騰訊的軟件中出現(xiàn)。可猜想，開發(fā)TM和別的版本應(yīng)該不是一個(gè)團(tuán)隊(duì)，至少在這個(gè)傳參數(shù)的問題上是出了問題。 下面我們就來分析一下TM和普通版本傳參給QQ空間的地址吧: 1>這是普通版本傳參給QQ空間的地址 http://imgcache.qq.com/qzone/jump.html#zzpanelkey=D76BB888ED41895662E68973DAED10CCF59E08AF46E37E51CC631538FFAF4CB3&zzpaneluin=39394839&url=http%3A%2F%2Fuser.qzone.qq.com%2F393948392>這是TM版本傳參給QQ空間的地址 http://imgcache.qq.com/qzone/jump.html#zzpanelkey=59BF32291B5D533ED6C2917171DE71414DB0AE687A756470E82787E1E32BF7AA&zzpaneluin=39394839&url=http://user.qzone.qq.com/39394839有什么不同？我們可以看出zzpanelkey的值是不同的，url的值似乎也不同？其實(shí)這個(gè)是一樣的。 我們可以知道zzpanelkey的參數(shù)就是傳給服務(wù)器上的這個(gè)頁面<http://imgcache.qq.com/qzone/jump.html>，當(dāng)這個(gè)頁面接收到參數(shù)的值后再返回某些值給當(dāng)前用戶的瀏覽器，因?yàn)樽詈蠼邮苤档牟煌?#xff0c;就出現(xiàn)了我上面說的問題！ 這時(shí)我們想，既然zzpanelkey保留了一些可用的參數(shù)，是不是可以保存下來，當(dāng)不從QQ面板上打開空間也同樣有權(quán)限進(jìn)入自己的空間呢？ 我試了一下，正是所預(yù)料的！這樣的話，如果別人在你的QQ面板上點(diǎn)了你的QQ空間，再把瀏覽器里的值復(fù)制下來保存，那就不管什么時(shí)候只要在你的機(jī)子上他都進(jìn)入你的QQ空間進(jìn)行管理，嚇人吧！！！ 如果這時(shí)把自己的QQ號改成別的人QQ號又會(huì)出現(xiàn)什么情況呢？哈哈，發(fā)現(xiàn)了沒有？在QQ空間的工具條上出現(xiàn)了對方QQ的名字！這樣我們可以看出當(dāng)你這樣傳值的時(shí)候，QQ空間是通過你的號子進(jìn)行判斷返回值的，而不是zzpanelkey的值進(jìn)行判斷！！而且如果對方的QQ空間要進(jìn)行密碼判斷能進(jìn)入的情況下，他也能返回值，但這時(shí)的值卻不是對方QQ的名字，而是對方QQ空間的連接地址！我記得類似的問題以前工行網(wǎng)銀也出現(xiàn)過，這是典型的不對用戶訪問的地址、參數(shù)和值不進(jìn)行嚴(yán)格判斷的結(jié)果！！ 這樣看來，QQ空間這個(gè)博客系統(tǒng)的確還不夠成熟，到底zzpanelkey中的16進(jìn)制數(shù)傳遞的值到底對應(yīng)了哪些值，下次有時(shí)間再認(rèn)真研究一下，開始我以為存的是IP地址，但我試著離線一下，再上線后zzpanelkey的值就改變了，這說明這其中應(yīng)該就是一些標(biāo)識用戶狀態(tài)和要服務(wù)端響應(yīng)后返回給瀏覽器的值，毫無疑問！這值是相當(dāng)重要的，如果能知道zzpanelkey的每一個(gè)值對應(yīng)的功能的話，哈哈！那所有的QQ空間的用戶都能控制了......... 以上問題，只是初探的結(jié)果............. <操作過程中的圖，下次有時(shí)間再貼上>好了，今天就寫到這里，明天還要考試，應(yīng)該語言有些不通順...... 我測試的環(huán)境是： TM:2008QQ:2007瀏覽器：IE6.0 操作系統(tǒng)：英文XP-SP2

總結(jié)

以上是生活随笔為你收集整理的初探QQ空间本地安全问题！的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。