小红书这个 bug 还真是有点搞笑呢。

于 2024-08-04 17:11:13 发布
阅读量29 收藏
点赞数 1
文章标签: bug
原文链接:https://mp.weixin.qq.com/s/xZJ89wGUGQf7bgPRP5hAtQ
版权

刚刚在小红书上冲浪的时候,发现了这样一条内容:

图片

我开始以为是一个钓鱼贴,骗评论的。

结果发现评论反映确实是发不出来。

于是我也试了一下:

图片

当我在小红书的评论区输入 time.sleep(1) 之后,弹窗提示“似乎已断开与互联网的连接”。

通过浏览器观察,可以看到后端返回的 405 状态码:

图片

然后我尝试着在搜索框里面搜了一下:

图片

这波就更厉害了,直接就是弹出“网络断开”的错误页面。

你就说这是不是 BUG 吧?

什么,你说这是 future?

我又不是憨憨,你为什么要骗我,哪怕你说是彩蛋呢?

都稍微合理一点。

图片

针对这个现象,小红书的小姐妹们在评论区讨论的非常热闹,你看这个评论数就知道了:

图片

按照这个逻辑推理,我试着输入了一下这个玩意:

《script》alert("xss")《script/》
//后面会解释为什么用中文

图片

果然,出现了一模一样的问题。

我作为程序员,针对这个现象当然能大概联想到“注入攻击”这样的关键词。

毕竟 time.sleep(1) 和 《script》alert("xss")《script/》 这类评论是有代码含义的。

但是我理解不了的是为什么小红书会抛出一个“网络连接异常”给到用户。

这样不是更加具有迷惑性吗?

歪师傅当年接了一个需求也是类似的,防止用户在输入框进行 XSS 攻击。

主要就是对所有用户输入进行过滤,特别是当用户的输入被包含在 HTML、JavaScript、CSS 或 URL 中时,按照正常逻辑来说,是要过滤掉或转义掉潜在的危险字符,比如 <、>、&、" 和 ' 这些玩意。

但是我当时就是直接一个大力出奇迹,我也懒得过滤,比如用户输入中包含一些 html 标签的时候,我就直接弹出一个非法输入。

我知道这个做法很糙,但是反正也是内部人员使用的页面,糙点也就糙点了。当他们拿着问题来找我的时候,我就告诉他:这是一个历史悠久的技术问题,解决起来比较棘手,你尽量使用中文符号,就好使了。

但当这个问题放在小红书,这个面向 C 端用户的 APP 来说,在提示上就值得好好琢磨了。

首先,我个人觉得这类评论直接在前端拦截到,是合理的。

因为正常用户按理来说是不会输入这样的评论的,输入这样评论的用户,一定是有某种意图。

比如前面大量的用户在评论区输入这样的评论,是因为有这样的引导,然后她们出于一种不相信或者猎奇的心态,觉得很有趣,第一次遇到这种情况,才在评论区输入了这样的评论。

所以,能偶然间触发这个 bug 的用户应该非常之少,没有必要为了这么一小部分用户,费心费力的去想着怎么把这部分“奇怪”的评论落下来。

但真的遇到了这样的输入,直接提示一个“非法输入”我觉得都比提示“网络异常”合理很多。

一般来说,能输入这个评论的用户,心里也明白这是一个“非法输入”。

当然了,这都是自己的看法,如果你有更友好的实现方式,也可以在评论区交流一下。

我学习学习。

评论

在这个小红书下面有一个热评是这样的:

图片

诶,不是说好打不出来吗,这个评论又是怎么回事呢?

你想想,你在写代码的过程中,有没有被 l(小写的 L),(I)大写的 i,数字 1 搞过?

甚至还有人教我的“丨”,这种存粹恶搞的玩意:

图片

l,I,1,丨 。

这四个哥们放在一起,在有的平台上面真的是,“安能辨我是雌雄”。

所以,上面这个热评中 sleep 中的 l 其实是大写的 I:

图片

这两个字母在小红书里面的差异,真是像素级别的。

我给你演示一下,第一个 l 是小写的 L,第二个 I 是大写的 i:

图片

肉眼看真的看不出来啥区别。

但是放大到像素级别的时候,你会发现它们有一个像素的差异:

图片

真的就一个像素。

图片

还有比如这个评论,他输入了中文括号,成功了:

图片

我从这个评论中看到了一点“信息茧房”的味道。

作为一个程序员,只要看到别人说:“你使用的是中文的括号”,立马就能反应过来。

但是对于非程序员来说,他一时间很难理解这其中的差异。

这就是一种信息茧房。

同时作者还提示在“time.sleep(1)”加入其他内容就能正常显示:

图片

比如他第一句解释中就包含“time.sleep(1)”,就能正常发出来。

于是,我想到了一个只有程序员能懂,且能迷惑到程序员的一个输入:

//time.sleep(1)

图片

在这个场景中,你会不会一瞬间把 // 理解为了注释?

大脑真的就很神奇,它会自动帮我们解析很多信息。

这也让我想起了以前在网上看到的一个段子。

有个资源包的解压密码是“鲁迅的本名”。大多数人都会输入“周树人”,提示错误,多次尝试后才反应过来,解压密码原来就是“鲁迅的本名”这几个字。

不知道这个问题的答案或者母语非中文者就不会被困扰,因为缺乏相关知识,他们的大脑不会自动解析这些信息。

确实有点意思,就当是一个让人蛋疼的冷知识吧。

最后,来一个梗图:

图片

就在我写完文章,准备用 mdnice 转公众号格式的时候,也遇到了这样的问题:

图片

图片

直接从这里开始截断了...

好吧,也是一种处理方式。

所以,我这个地方用的是中文符号。

图片

IT界那些事儿
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ie 处理 gif动画 的onload 事件的一个 bug
10-30
IE浏览器在处理GIF动画的onload事件时存在的一个bug,该bug会导致onload事件重复触发,该问题只出现在IE浏览器上,而Firefox浏览器没有这个问题。 该bug的原因是IE浏览器在处理GIF动画时,会重复触发onload事件,这...
Bug追踪过程中需要注意的几个问题
03-23
追踪Bug追踪过程中需要注意的几个问题软件测试◆尽量减少重现的步骤以达到用最少的步骤来重现问题;这对编程人员来说是很有帮助发现问题根源的。◆最好由报bug的人验证bug是否可以关闭。任何人都可以修复bug,但只有...
小红书被曝推送未成年人身体隐私内容,互联网平台为何屡屡打“擦边球”?
成都汇智动力的博客
12-07 539
首先要说明,推送的技术和算法是无罪的;其次要注意,小红书“备有后手”的道歉怕是难以服众。 其实除了小红书,早在此前(包括目前)其他互联网平台皆有过打“擦边球”的负面报道,而这些内容之所以能被平台审核通过,除了官方致歉声明中所谓的疏忽漏放,不排除平台抱有纵容和侥幸之嫌。 要知道,这种平台人为的放任以及视而不见,恰恰为互联网平台收割一波又一波热度和流量,尤其是在新产品、新功能刚刚上线之初,更是屡试不爽——比如微信漂流瓶、陌陌社交以及当下流行的短视频推送…还真是掌握了财富密码呢~(至于收割流量后的洗白白,大家都.
自从进了这个京东捡漏福利群,拿了很多0元商品,还有很多秒杀呢!
柏颖漫谈
04-27 276
上周,小编一个在京东上班的朋友拉我进了免单福利群!我才发现原来好多京东平台的东西不仅质量好还很便宜,还有很多0元商品可以抢,以前竟然被“坑”那么多的冤枉钱!!刚加到群里后,群主就给大家送了一波BUG商品,0元或者0.1元包邮到家哦,领的我是不亦乐乎。像鸡蛋,口兆,枕头,发带等等,跟不要钱一样然后群主又给大家安排了几款秒殺,也是非常给力,我手慢,秒到了几件,不过群主这边每隔几天都会安排秒殺,所以我只...
【2023 - 探索】博0到博1,游戏新地图的探索日志
定期分享我的发现和想法,感谢你的陪伴和支持
01-11 8926
2023,我解锁了新的游戏地图,并在年终查看探索日志。 时光流转,现在翻开2024的第一页。 新年快乐,祝愿我们的世界充满无限可能! (ps:小雨想要活动奖励!求点赞评论三连支持
算法学习之路和程序员(技术)学习必读书籍
热门推荐
Tham 在思索中前行!
05-26 2万+
我的算法学习之路 原文链接:http://lucida.me/blog/on-learning-algorithms/ 关于 严格来说,本文题目应该是我的数据结构和算法学习之路,但这个写法实在太绕口——况且CS中的算法往往暗指数据结构和算法(例如算法导论指的实际上是数据结构和算法导论),所以我认为本文题目是合理的。 这篇文章讲了什么? 我这些年学习数据结构
瞎写01 CSDN点1个赞[Python][JavaScript]
weixin_42789937的博客
04-08 1038
瞎写系列,捕捉那些一闪而过的灵感,记录各种有趣的尝试,每一次的尝试都是一次学习的机会,因此,看到我的很多失败代码请不要太嫌弃哟~🥝🥝
万字浓缩版,Python 潮流周刊第 1 季的 800 个链接!
Python猫
07-17 578
△△请给“Python猫”加星标,以免错过文章推送你好,我是豌豆花下猫。前几天,我重新整理了 Python 潮流周刊的往期分享,推出了第 1 季的图文版电子书,受到了很多读者的一致好评。但是,合集和电子书的篇幅很长,阅读起来要花不少时间。所以,为了方便大家阅读,我打算将合集进一步整理,分门别类将原始内容的标题罗列出来。本文总计约 800 个链接,有 5 大分类,你可以快速浏览文章、项目、播客、视...
QQ集体被盗号,猝不及防的大型社死名场面
互联网运营知识库
06-29 238
QQ集体被盗号,猝不及防的大型社死名场面
Android逆向入门3——怎样才能找到sign算法
lilac的博客
07-24 8245
鸽鸽鸽 明天更新
入职接一个月来谈谈华为OD的感受(拜托入职佬写的,一字未改)
每天多一点干货
04-26 663
投的实习,性格测评没做完自动交卷了,实习肯定是寄了[牛泪][牛泪][牛泪],影响秋招吗?bg本2,春招开始投,上周在决赛圈中选择然后签了一家国企,岗位方向合适,双休但薪资一般,离家远本人实。上周问阿里云流程,说是已经提上去了,在审批中,结果现在还没消息,请问我是被养鱼了吗?我是24届毕业生,考上研了,想利用暑假做份实习,但是我看到大公司面对人群都是25届,24届是一点没有。邮件写的技术岗笔试,用的赛码平台,只有30分钟,还以为是选择加业务题,没想到直接上来就ACM赛制,j。
BUG描述报告书.rar
06-13
"BUG描述报告书.rar" 提供了一套完整的编写模板和技巧,这对于外包公司尤其重要,因为它们需要与多个团队进行高效沟通。下面将详细讨论BUG描述报告的重要性和编写方法。 首先,BUG描述报告是软件质量保证过程中的...
解决dotproject的两个小bug的方法
09-30
继续深入使用dotproject,发现两个小bug,国内的论坛这些问题是找不到了,只有到dotproject官方论坛去找找,问题终获解决。
IE6图片加载的一个BUG解决方法
10-29
小图整合在一张大图里,然后在不同的CSS里调用同一张图片,以此来减少请求数,这是页面优化最常用的手段,但IE6会对页面里同一个图片,只要在不同的地方有引用到就会重新请求一次,需要加JS代码解决。
(四)activit5.23.0修复跟踪高亮显示BUG
xiaozaq的博客
08-03 1046
Override经过测试二种方案都是可行。推荐使用方案一,可以修改比较容易。但是要接受雪花算法的缺点。后期还可以优化id生成算法。
unity拖拽物品遇到的bug及解决思路
dxgzg的博客
08-03 275
记录一下拖拽实现过程中遇到的bug
数理方法习题 前六章.pdf
08-03
数理方法习题 前六章
某大型制造企业IT蓝图规划及实施路线.pptx
最新发布
08-03
某大型制造企业IT蓝图规划及实施路线.pptx
这个程序有BUG吗?
07-27
根据你给出的代码片段,我无法判断是否存在BUG。代码的正确与否取决于你的预期目标和具体需求。然而,我可以提供一些常见的错误和潜在问题,供你参考: 1. 变量声明:确保在使用变量之前进行了正确的声明和初始化。在你给出的代码片段中,`cout`和`endl`是C++标准库的输出流和换行符,需要包含头文件`<iostream>`来使用它们。 2. 循环条件:在循环中使用`std::cin >> val`作为条件时,需要确保输入流没有被关闭或发生错误,否则循环可能无法终止。 3. 输入错误处理:代码片段中没有提供对输入错误的处理。如果用户输入非整数值,或者输入流发生错误,代码可能会产生不正确的结果或陷入无限循环。 4. 输出格式:根据你的需求,可能需要调整输出格式。当前代码片段中,输出的结果是每个数字及其出现次数在一行上进行显示。 请仔细检查这些方面,并根据你的具体需求来评估代码是否存在BUG。如果你有更具体的问题或代码片段,请提供更多细节,我将尽力提供帮助。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值