http://seven.renren.com/websitecelebrate
这里有个摇奖机,摇一下,结果没中,提示下一次摇要在下一个小时。
http://s.xnimg.cn/a49632/actimg/12anniversary/js/anniversary.js
发现了这么一个JS文件,包含7周年页面的基本全部。
XN.act.embedFlash();
//设置抽奖按钮不可点击
if(isLotteryed){
jQuery('.lottery-btn').addClass('lottery-btn-un');
jQuery('.lottery-btn').click(function(){
return false;
});
}else{
jQuery('.lottery-btn').click(function(){
if((this).className.indexOf('lottery-btn-un') == -1){
jQuery('.lottery-btn').addClass('lottery-btn-un');
XN.act.run();
return false;
}
});
只是把抽奖按钮禁用了,又看到了XN.act.run();,把这个搬到页面里随便别的链接的onclick事件下。
<a href="javascript:;" class="lottery-check">查看最新中奖名单>></a>
每次单击“查看中奖名单”这个链接,就可以看到老虎机开转了。
修复方案:
验证不光停留在本地,也不要只对本地按钮操作,在服务器端保存是否摇过奖的数据并限制摇奖机的启动
|