315 晚会曝光的「浏览网页就能泄露手机号」的原理是什么？ 第1页

最初，许多运营商业务相关页面，如网上营业厅，是会用到账号信息的。但它们的 JSONP 接口存在漏洞，没有限制来源，任何网页直接加载就能得到手机号。

逐渐修复后，一些不正规的接口仍然存在问题。例如，广东移动劫持百度首页，插入岭南XX横幅广告：加载 JS 后，会在网页写入一个 a 标签，链接地址包含手机号。

或者，如其它答主所说，这干脆就是一项服务，而不是漏洞。

现在，全网通用的「一键登录」更是助长了这一行为。忽略刚上线时的问题，就目前而言，任何企业开发者均可以申请使用，获得用户授权后即可得到完整手机号码。

所谓「获得用户授权」，指的是用户在完全由开发者控制的界面上点击一个按钮，至于按钮形式，甚至是否需要真实点击，都全靠一纸标准，或者也许有用的资质审核所约束。

例子：讯飞「咪咕灵犀」去年未下架时，在未经授权的情况下，自动以中国电信手机号登录。（实际上只是个 Bug，但足以体现授权的不可靠）

设计之初，就不认为用户的隐私需要保护。

说实在的这个原理超出了我一个前端开发的认知。跟浏览器打交道最多的我从没想过一个沙箱一样的存在，能够获取到手机底层的读卡信息。这就是离谱他妈给离谱开门，离谱到家了。

刚刚我突然想起来代码层面不可能实现，我是不是可以换条思路？如果我使用了手机流量上网，我会不会像附近的基站发送我手机的一些信息，比如说我的手机号码啊，sn码或者是MAC地址之类的？假设我的通信运营商把我这些信息存在各自的小基站中，打包封装成对公api，再把这个API的使用权限卖给一些私人公司，那么这些公司是不是就可以滥用我的这些信息？随时知道我的手机地址上网情况，以及拨打我的手机号码？互联网下人人都没穿衣服，这个我是早已经知道的，但是对于自己不仅要赤裸被别人看，而且还被明码标价随时被人强奸，这种情况，我还能怎么办呢？只有应了那句话，生活就像强奸，假如你反抗不了，那就去享受。