@knives tomcat 下部署 war 包。Spring boot 的 jar 包无法用这个利用链

https://www.jd.com 如果依然劫持，应该是插件，如果没有劫持，那就是网络

@binbinyouliiii 13 楼已经说明了原因

便签终于不丑了

去年双十一前开的，现在已经返豆超过 5W

@cyanbox 不同域下无法操作 dom

多个 ip 的情景有 3 种
1.域名配置时一个域名可解析出来多个 ip ，这是为了 ip 后的服务不可用后客户端切换到后续的 ip
2.为了提高用户访问速度，使用各种方式使得用户可以就近访问
3.运营商进行的 DNS 劫持
如果不考虑 3 ，那么通过各种方式(各种全国 ping 网站，网上已有的数据)收集全国各省市电信运营商的 DNS 服务器 ip ，在他们没有限制只对指定段 ip 的查询进行响应的情况下进行 dig 就好了
如果考虑 3 ，那还要把解析到的 ip 进行判断是否为该公司的服务器，判断方法有从 response header 看差异、把 http host 字段为其他公司域名的请求打到该 ip 上等等

@DRcoding 不是你用不用 3g.qq.com 而是你的 cookie 通过一些原因(例如邮箱有漏洞，你点了攻击者的一个链接后攻击者通过此漏洞拿到 cookie ，或者网络被监听，直接获取 cookie )泄露出去了。攻击者拿着你的 cookie 在 3g.qq.com 可以直接给你的好友发消息

@DRcoding 可能还有类似 3g.qq.com 那里只需要 cookie 就可以发消息的口

@maemual 对 lz 查电话号码的行为进行肯定。
确实有骗子用 0527 来冒充 jd 客服

现在我都是要卖东西是装咸鱼，去掉通知权限，卖完就卸载。可能这就是他们想要的结果吧

不知道实现方式。
就是借楼吐槽下咸鱼这么恶心的行为。用户已经有固定的心里预期(消除通知就是不想进入通知的应用)，现在咸鱼却非要恶心你一下，消除时反而打开了应用。真不知道他们产品 /部门 leader 是怎么想的，真的为了日活可以什么都不顾吗？

@guke 新插入元素需要移动整个列表…

单账号较多频次的运费险，会影响账号信用级别的

@fzhw88 那可能是有页面的链接里还是 union.click 这个域名，遇到这种情况时试着手工把域名中的.修改为-试下，一般情况下都可以正常访问了

@fzhw88 如果添加了所有域名，则不会被劫持。
另外 union-click 试下，应该可以

把 jd.com 加到 hsts 列表中

应该只抓自营的排除刷单的影响

@murmur m.taobao.com 在下单从地址簿选择地址时一直拉不到地址数据， N 久前都存在了，现在应该还有问题