本文章只面向菜鸟级的读者，对于其他读者来说，太浅显了，可以飘过～

　　Google pages已经停止了注册，在为这一服务的停止而悲哀的同时，令我想到了为什么Google管理和发布要放到两个平台。

　　比如blogger，作者在 blogger.com写，而发布在blogspot.com，又如Google pages，在pages.google.com创建，而又发布在googlepages.com。

　　我们知道，网站登录一般使用 cookie技术，就是先登录，输入帐号和密码，尔后如果登录成功就在用户电脑上留下一段cookie，每次载入页面时，服务器都可以访问这个 cookie，从而认定这台电脑是这个用户登录的。只要有这个cookie，就可以认证这个电脑的身份。

　　这个cookie只能由单一网站访问。比如 wikipedia.org就不能访问google.com的cookie，以确保用户的帐号不被非法的电脑利用。

　　不法分子可能会利用"这个cookie只能由单一网站访问"这个漏洞，在自己的网站里注入一个帧，这个帧的内容是他发布的Google.com页面里注入一段代码，比如执行

　　javascript:wmr_script

　　那google.com就会执行，由于Google.com是有权限访问用户在Google登录的cookie的，那么，不法分子只需要在自己的网站在写一段js，执行它，比如发送登录cookie到他的网站那么就能实现盗号了。

　　来分析一下Google用户发布的内容：

　　groups：在groups.google.com只能发布纯文本，无法构成script或表单，网页则在googlegroups.com发布，无法访问cookie。

　　Sites：无法发布script或表单，如果发布会被省略去。上传的文件到googlegroups.com，并且无法上传html文件。

　　网页快照：终于知道为什么Google快照总是在一个ip地址打开了吧，不是因为别的，正是因为google的ip地址无法访问cookie，网站不可能利用这个漏洞。

　　pages：在Google的网页编辑器里可以插入任意代码，而且可以上传html文件，在googlepages.com发布。

　　看来Google做的一些事情并不是凭空的灵感，而是必要的。

　　[viawmr]