SouLogic 灵魂逻辑

孔夫子网站(kongfz.com,有手痒想练手的么

作者:郑凯

碰到个比较恶心的事情,周一下午去一家公司面试,一去的时候就问“看过我们网站没?有什么建议没,我说不好意思只是大致了解了一下,没细看,聊了一个来小时,临走的时候又嘱咐我说,让我回去看看他们的网站,看有什么什么地方是可以改进的,还特意找张纸写了信箱地址给我,我回去后认认真真的看了看,列出了这么个单子

[quote]
重要问题
有些地方没有输出转义,可以被很轻易的攻击 [url]http://www.kongfz.com/trade/trade_reply.php?id=574110&tc=zy&tn=%3Cscript%3Ealert%28document.cookie%29;%3C/script%3E[/url]
整站没有 gzip 压缩,速度会有影响,如果流量很大也存在浪费带宽的问题
论坛页可以看到截出半个字符的情况,存在注入可能。建议用类似 iconv("GBK", "GBK//IGNORE", $text) 之类的方法过滤最终输出。但还是建议整站转为 UTF-8

次要问题
注册登录流程建议使用 SSL
header 输出里包含明确版本信息,安全考虑建议屏蔽掉(Apache 的 conf 里 ServerTokens Prod)
图片应使用单独的 .com 域名,以避免浏览器端发送 cookie 信息,节省流量、提高访问速度
很多地方都可以做 SEO,如首页右侧的链接 http://bq.kongfz.com/detail_468/ 应改为http://bq.kongfz.com/detail_468_百年孤独/

其他
应该用真正的缩略图而不是 js 的 http://pmgs.kongfz.com/detail/49_104099/
有些 robots.txt 禁止图片索引,例如 http://shop.kongfz.com/robots.txt 里的 Disallow: /data/ ,但允许索引是可以增加一些从图片搜索过来的流量的
广告图片的 url 里不应包含 ad 二字,容易被一些浏览器或插件屏蔽掉,个人习惯上用字母 cn 代替 ad
[/quote]

结果邮件发出后石沉大海,我以为被他的信箱误认为垃圾邮件了没收到,也就没再管,结果今天突然收到回信,告诉我被拒了。操你大爷,面试完本也没打算用我,又让我看你什么网站。之前本来也没给他们投过简历,他们主动找来的。严重怀疑这公司专门在招聘网站上搜简历,打着招聘的幌子找免费的网站优化方案的。

话又说回来,我 4 天后收到鸭回信的时候,我所说的 XSS 问题还是没解决,这种执行力的公司,无论给什么条件我也不会去的。

去年被一应聘的给耍了,今年被一招聘的给耍了,涉世不深啊,衰