【剖析】论坛大师云端点赞原理

灌水王

代码地址：https://github.com/master-of-forums/master-of-forums/blob/main/src/js/main.user.js

点击论坛大师标签图片，触发代码：



PS：此图片在非论坛大师用户看来是一个1x1像素的空白图片，主要用来防止回复被dz隐藏

跟踪函数：MAIN.actions.support



可以看到，此功能为本地点赞功能，主要分三种情况：为别人点赞而自己还没点赞时、为别人点赞自己已经点赞时、点赞自己时，触发函数OK，查看OK的对应的代码，发现是调用的 thumbs函数，跟踪下去：



可以看到，想云端API发送了要点赞的回复ID。

云端API回复数据：在最近一段时间内同时需要点赞的其他帖子ID，论坛大师把此数据传入supportPointToPoint 函数，继续跟下去：



就是个读取列表然后循环POST跟LOC发送点赞请求。

总结：云端API仅记录最近时间内需要点赞的回复ID，并不记录Cookie等信息，需要云端点赞的用户把回复ID发送给远程服务器，远程服务器记下回复ID后便把其他MJJ云端点赞的回复ID返回给当前操作的用户，当前用户在自己的浏览器执行点赞其他MJJ的云端点赞任务。类似于以前的软件自动控制手机进行QQ名片互赞，服务器仅保存回复的ID值。

灌水王

。。。不会代码就别回复了，怪尴尬的

灌水王

问题的核心在远程操控，今天可以云点赞，明天可以云改签名，后天可以云爆坛

灌水王

我对你代码没性趣也没有研究的价值，我说的核心问题是【未经用户同意擅自进行了用户操作】这个问题，用户点击上报数据没问题，但是拿来给别人做其他事问题就大了，换个角度来看，是不是可以做成收费或者竞价，让所有云点赞的用户都去投某些帖子的票，这些指令可都是下发的，即便都是粉饰成【主动使用这个功能时触发的】也没人知道对吧

灌水王

你可以看看代码，论坛大师做不到远程操控用户。
只在用户主动使用这个功能时触发的，十秒之内完成所有操作 也是在用户本地完成的

灌水王

要去掉云端功能 图床什么的
安静做一个签到 屏蔽头像的实用工具不好吗

好家伙 这还上云了  今天云点赞 明天云什么
不是所有用户都会去看每一次更新的代码  如果每天要像防贼一样防它
为什么不停用他

灌水王

关键用户本意上 无意点赞 你就是这未经用户同意 用用户数据进行相关操作 虽然目前对用户明面无损失
但如果loc和WB一样看的到点赞用户ID？ 你是否还会坚持如此认为？
用户自己未操作 某工具却用某技术帮他实现了某行为  这就是大忌

你还没认识到自己的错误
你要是建几个小号 用你小号去点赞  那无所谓

灌水王

总有刁民想害朕:lol

灌水王

既然你都这么说了，那就说明你永远都是对的了，我也不想多说什么了，就卑微慎重的投下了支持禁用的一票

ALihiokggl

带有跟后端交互的浏览器扩展都有一定程度的安全隐患，这个主要靠作者想不想干坏事了。就一个inner就可以做很多事了，不过这个是硬编码的click事件，必须得用户触发，我没看作者代码，不知道是否有从远端获取更新js功能，用不用看自己

gd3210

问题不是你技术上是否合理，而是这个功能是否破坏了论坛的公平原则，毕竟我们不想让论坛的风向被少数人带领。

灌水王

大后天发现手脚不受控制，于是又来水了一贴。

灌水王

可以理解为肉鸡了 就是利用用户cookie来点赞  不过代码是透明的而已

灌水王

仔细看代码可以发现是 需要云端点赞的用户之间的互相点赞，况且肉鸡这比喻属实不太恰当...肉鸡是完全的傀儡，垫板上的闲鱼，论坛大师这个只能说是为有需求的人提供了一个互赞平台