最近半年逛社区，发现有好多小程序因“米家客服中心”“九阳豆浆机”等虚假活动页面，导致小程序被处罚的情况。

而大多数小程序开发者收到违规消息时候，也是一脸懵逼，这个页面压根不是我们小程序页面，怎么会这么显示？是不是有人恶意投诉？我们公司不搞这个活动，这是怎么回事？

前阵子我们小程序也出现了类似页面被小程序官方处罚，检查后原因是：

第三方通过webview 对我们的特定业务做了xss注入攻击，导致访问该网页会直接跳转到第三方虚假活动的网页，以至于小程序出现该虚假活动涉诈的页面。

但从受害者和官方看来这个虚假活动页面就是小程序自身有的，无法区分该页面是用户本身恶意违规，还是被利用。

也分享两点经验教训：

1.waf不一定能防护住xss攻击

一开始我们以为waf能防住他们的xss攻击，后来发现这个黑产团队很专业，他们的攻击绕过了我们的waf相关服务；

2.管控好小程序配置的业务域名，做好安全加固

过去为了方便，将老的容易被攻击的域名配置到小程序业务域名上，让那些网址可以通过webview打开。也因此导致了黑产通过这些业务利用我们小程序开展非法活动。

希望各位开发者能做好小程序安全加固，避免出现此类风险

也希望有其他大佬能一起在小程序社区分享些黑产对抗经验