早上一如往常，我會登錄各類社交網絡。當我使用TweetDect登錄Twitter后，彈出了一個提示框，顯示“XSS on Tweet Deck.”這讓我感到很惱火，因為顯然這不是正常的歡迎屏幕。

經過一番研究，我發現我收聽的其中一個帳號包含了下面的Javascript代碼。TweetDeck沒有過濾輸入導致代碼在瀏覽器中直接執行了。

只要有人把下面的代碼通過Tweet發送出去，其他用戶通過TweetDeck查看就會中招。從下面的Tweet中可以看出，已經有接近4萬用戶中招并進行了自動轉發，該數字還在不斷攀升。

正如你所看到的，這次XSS攻擊能夠通過data-action:retweet進行自動轉發，從而在用戶登錄TweetDeck并查看該惡意Tweet后會引發連鎖反應。這是一次非常嚴重的安全事件，已經導致了Twitter上爆發大規模蠕蟲，TweetDeck官方已經對此做了聲明。

這次XSS問題產生的原因是當Tweet中插入了Unicode字符“♥”，Twitter會將其自動轉換為心形的圖案，并導致HTML過濾器失效。