大家都知道验证码的作用。验证码是为了防止机器遍历密码而获取帐户的操作权。但如果在客户端来生成验证码，那不等于花瓶吗？这个道理大家都懂，但还是有很多大网站还是这样做。。。。
Sina的Blog生成验证码的代码的Js如下:
function load_chk_img(s) {
  var stamp = new Date().getTime();
  $(s).src = 'http://my.blog.sina.com.cn/myblog/checkwd_image.php?' + stamp;
}
当stamp的值一定时，生成的验证码是相同的。例如：
http://my.blog.sina.com.cn/myblog/checkwd_image.php?10000　对应的7040，只不过显示的7040的形状不同而已。
客户端完全可以修改stamp。从而获取一个Code,根据这个Code来验证。
再用机器去遍历password就OK了，如果密码简单的话，就可以到大流量的vip博客玩一把了，那些vip肯定会大吃一惊。