通过网易云分享链接获取分享者账号

之前有发过一次音乐的分享链接，但是当复制分享链接后，熟悉一点点网安知识的我敏锐的突然发现链接后面居然带着一个userid参数，例如随便挑一首歌曲然后复制分享链接：

会得到以下结果：

前面的id应该是歌曲的 id，后面的userid或许就是分享者的 id了。为了验证是否是这样，接下来要找到userid和用户名的对应关系。因此想到可以在网页版网易云中访问自己的主页，果然发现了同样的userid。

但是如果是直接发到空间或者朋友圈的分享，会不会带有这个userid参数呢？随机挑了朋友圈中一个人的分享尝试了一下，之后用 Safari 打开，果然在地址栏中也看到了userid参数。接下来，进入自己的主页，将自己主页后面的/#/user/home?id=*********中的*********换成上述，成功进入对方的网易云主页，发现了用户名。

所以可以看出，网易云也存在一定的隐私保护问题，不过可能也许在一开始进入 APP 的那个很长一堆的用户条款里说了吧。但是还是要注意来自分享链接的隐私保护，不知道能不能设置主页权限之类的。以及上图浏览器后面还有一个from=timeline后面的一堆，是微信自己附带上的，用来标注访客的来源。这种分享链接涉及到的隐私问题同理说不定也可以推广到 QQ 音乐或者其它的各种平台。

如果在意隐私保护，以后可以去掉分享链接后的 userid 这个参数。