给极狐 GitLab SaaS 安装百度统计代码统计仓库访问量

首先，声明我这个方法是利用了一个不是漏洞的漏洞做到的，官方随时可能修复导致失效，在极狐 GitLab SaaS 上线之前我就已经反馈给了官方：https://jihulab.com/gitlab-cn/saas-feedback/-/issues/10，但可能似乎没什么危险就搁置了，那我们就可以利用这个不算什么漏洞的漏洞做点什么。

不是漏洞的漏洞

我先解释一下这个不是漏洞的漏洞是咋回事，就是咱们在 README.md 的自述文件中可以引用图片，然后当其他用户访问的时候，浏览器就会去访问这个图片地址，那我们可以给这个图片地址加点“调料”，比如我们自己自建一个统计系统，然后把图片地址改为我们自己的统计系统，这样用户访问的时候就会被动的、并且是无感知的访问我们的资源。

当用户请求我们的资源时，我们作为服务器端可以获得用户的访问时间、用户的IP地址（间接获得省市地址）、使用的浏览器UA。

百度统计的原理

本文不是讲百度统计，所以不多说，只说必须的知识。

百度统计的代码原理，其实就是在我们的页面上通过JS插入了一个假图片，然后通过 get 请求参数进行传参，其实就是请求这个假图片地址：https://hm.baidu.com/hm.gif 。

然后它有N多个参数，但极狐 GitLab SaaS 页面有转义来防止 XSS 攻击，所以我们无法运行 JS 代码，很多参数都抓取不到，所以其他参数我就不介绍了，但有一个固定的参数si，也就是我们的百度统计网站id：https://hm.baidu.com/hm.gif?si=6eae1f418a89e09bdc11501c4774ed35

给极狐 GitLab SaaS 安装百度统计

我们了解了这个不是漏洞的漏洞，还有百度统计的基本运行原理，然后加以利用，在我们项目的 README.md 自述文件中引用这个百度统计假图片，下面是 Markdown 语法，当然 html 也行：


这样一来，只要有人访问了我的项目首页，我就可以在百度统计中看到，访问的IP数、UA数、PV数、地域分布、访客浏览器、新老访客比例。

其他平台行不行

也许你也想如法炮制，去其他的平台上试试，不过，目前 Github、Gitlab 这两大平台都会替换 README.md 自述文件中引用的图片地址为自己的导致失效，其他的平台可能也存在这个不是漏洞的漏洞，加以利用，最后，祝各位玩得开心。

关于极狐GitLab 的101件你想说的事 101 创作营：https://gitlab.cn/jihulab101