拼多多是怎么做到分享的助力链接域名不是自己的呢？

@yuzo555 #42 我经常跟姑姑阿姨玩这些，可以确认是的

这明显是破坏计算机信息系统罪

感觉并不需要上传图片，纯粹的用 三厂域名接随机字符作为 token 伪装成 url 就可以了

比如： http://www.qq.com/3wnmJOBtGLOIiUx

后面的 3wnmJOBtGLOIiUx 就是实际的 token

看样子拼多多后台很厉害喽

理论上，他随便搞个其他域名 url 都可以吧。

恍惚在背后听见 PDD 对微信说：“你封啊，你限制复制口令啊，让你限制啊，来啊~”

@PqZS58MLPBHFpEqm Referer

@Ansen 我從來沒有用過拼多多助力。不過我猜偽裝 URL 的缺點是很多人會直接點，然後 404 。如果是短鏈接和圖片的話，就可以引導用戶複製鏈接、打開拼多多應用。

@PqZS58MLPBHFpEqm 看看是不是 Referer

前两天还看到挺骚的一个链接，大家可以看看

https://openai.weixin.qq.com/webapp/h774yvzC2xlB4bIgGfX2stc4kvC85J?robotName=%E5%A4%8D%E5%88%B6%E9%93%BE%E6%8E%A5%E6%89%93%E5%BC%80%E6%8B%BC%E5%A4%9A%E5%A4%9A--%3E%3E&21F4A8B=iwQAOLd8ix1AL2z&hc_pmc=2911532469336

@jefferylong 主页是微信对话开放平台，这个看上去没问题，接入了算是正常利用吧

@paledream 是的,直接复制打开拼多多也可以去助力

@pytth 就像楼主这个举例，跨站脚本怎么能传到高德和 163 ？不解。这算入侵？

@neroxps 张小龙：我狠起来可是连*.qq.com 都封的。

@jefferylong 微信自己都被攻陷

火狐浏览器的 network.http.sendRefererHeader 参数改成 0 ，禁用 Referer ，即可正常转跳链接 2 ，但同时会导致 V 站无法正常登陆。

本隐私怪附上一些我调教过的浏览器参数

```
identity.fxaccounts.enabled = false
beacon.enabled = false
dom.battery.enabled = false
dom.event.clipboardevents.enabled = false
geo.enabled = false
media.eme.enabled = false
media.navigator.enabled = false
media.peerconnection.enabled = false // Disable WebRTC
privacy.firstparty.isolate = true
privacy.resistFingerprinting = true. // user agent changed
privacy.trackingprotection.enabled = true
webgl.disabled = true
privacy.trackingprotection.cryptomining.enabled = true
privacy.trackingprotection.fingerprinting.enabled = true
Privacy->Third Party Cookies->All third party cookies // on the browser setting
Privacy->Cookies->Block cookies and site data: All third party // on the browser setting
Privacy->Cookies->Keep until: Firefox is closed // on the browser setting
privacy.clearOnShutdown.cookies: true
network.cookie.cookieBehavior: 1
network.cookie.lifetimePolicy: 2 // on the browser setting
network.cookie.thirdparty.sessionOnly: true
network.cookie.thirdparty.nonsecureSessionOnly: true
network.trr.mode = 3
network.dns.echconfig.enabled = true
network.dns.http3_echconfig.enabled = true
network.dns.use_https_rr_as_altsvc = true
network.dns.disablePrefetch = true
network.http.sendRefererHeader = 0. // but i set as "1" since cannot visit V2EX after change
network.prefetch-next = false
network.cookie.sameSite.laxByDefault = true
network.cookie.sameSite.noneRequiresSecure = true
```

@Ansen #103 随意拼接的链接，接收方无法打开链接，也不知道怎么操作；上传图片主要是引导作用，接收方点开就知道如何操作。

不要脸就宇宙无敌了

有没有可能提出方案的人获得晋升了

拼多多骚操作真多啊

哈哈， 牛逼牛逼，我昨天也还在奇怪呢。

就是各大云服务的图片，最后才会跳转到拼夕夕自己

@Exdui #4 为什么一定要用链接呢 直接一段密文不就行了

@123go 引导用户点击查看如何使用

哈哈哈哈，pdd 太骚了

@123go #122 之前的口令就属于一段密文，现在都被微信屏蔽得很难用、很难复制。

前段时间看到一个 url.cloud.huawei.com 的域名，当时还以为华为云提供了跳转服务

这也行，厉害厉害

cc.10010.com 是联通的在线客服服务，我觉得它可能是给机器人客服发了图片，然后拿到图片链接了。

“令人发指

够野。够卷。这就是 Growth Hacking 吗，爱了爱了

我想知道最先想出这个点子的大哥 年底拿了多少奖金

@zml 跨站脚本算入侵，这种操作很多黑产都这么玩。前段时间我就拿到黑产的一个案例来做技术分析，得出的结果刚好就是与拼多多目前的操作相似。原理也很简单，用 Burp Suite 进行抓包并且中途修改请求参数来将 html 伪造成图片来上传就可以注入到服务器。

今天面试 pdd 问了句 说自己的 不是高德的😂 具体没和我说

属实玩明白了

@yuzo555 现在来看，我说是官方的问题，没问题吧？