[转载] 闲鱼被骗经历

最近看到几次这种扫码直接确认收获的情况了，
虽然买家随便扫码是有不对，但是确认收获这么重要的接口没有强制的二次确认也确实不好，属实没想到闲鱼有这种坑，

感觉应该会改，我估计淘宝天猫是没有同样问题的，改至少调用两个地址，第一个返回确认弹窗和临时 token 用来调最终确认接口时回传, 任何一个地址都无法直接确认收货，
这样感觉就 OK ，就是可能不好兼容旧版，只能让旧版作废了，

支付的应该是运费订单吧，逻辑是这样的吧，买家支付运费(1 块钱) -> 触发闲鱼自动收货 ？ 货款应该是提前支付给闲鱼了，确认收货后，闲鱼打款给卖家。

已经有了 t/937597

这么坑

发现现在很多网站，app ，在手机操作时，可以调用支付宝的权限的，有时突然来个自动续费订阅，自动走花呗啥的，吓到我不敢在支付宝上，绑定太多卡了，漏洞太多了

在支付宝打开的第三方网页可以直接使用支付宝 API ？这 tm 谁还敢用支付宝扫码