小程序
小游戏
企业微信
微信支付
扫描小程序码分享
我们的链接偶尔会被限制访问,提示
该网页可能存在被他人恶意利用生成违规内容的情况(如xss注入、文件上传漏洞等)
这个问题已经困扰我们几个月了,莫名其妙就出现这样的问题,我们把能想到的原因已经改了一遍了还是会出现,同样一篇稿件在一个群的分享卡片打开出现这样的问题,直接把消息卡片转发到另外一个群里面打开又正常,这个官方能给个说法吗?实在没办法了。
域名: xingshashibao.icswb.com
链接: https://xingshashibao.icswb.com/h/101691/20230923/711965_m.html
3 个回答
加粗
标红
插入代码
插入链接
插入图片
上传视频
你好,该链接可正常打开,请提供具体链接、点击链接时出现拦截页的微信号、时间,以便我方核实。
你好,麻烦通过点击下方“反馈信息”按钮,提供出现问题的。
应该不是上面说的原因,我们这条链接也是这个问题,都找不到原因了
https://xingshashibao.icswb.com/h/101691/20230519/706672_m.html
我翻了一下网站的代码,纯粹猜测,我也没特别注册账号去试,手机版是有登陆评论的功能,不知道后端有没有做处理,但是这种直接拼接回调数据的方法不可取,容易出现xss漏洞。
你试想,假设某个用户或这评论内容设置为
xxx<script>location.href='恶意网站'</script>
或者
xxx<img src="恶意图片地址"/>
甚至
xxx<script>document.write('直接重写整个页面html')</script>
建议你们试试自己评论这种利用xss注入的代码试试是不是存在问题
xxx<script>alert('存在xss注入')</script>
我看到很多地方都存在这样直接拼接html的,除非后端做了处理,否则就是个任人宰割的页面内容。
关注后,可在微信内接收相应的重要提醒。
请使用微信扫描二维码关注 “微信开放社区” 公众号
你好,该链接可正常打开,请提供具体链接、点击链接时出现拦截页的微信号、时间,以便我方核实。
应该不是上面说的原因,我们这条链接也是这个问题,都找不到原因了
https://xingshashibao.icswb.com/h/101691/20230519/706672_m.html
我翻了一下网站的代码,纯粹猜测,我也没特别注册账号去试,手机版是有登陆评论的功能,不知道后端有没有做处理,但是这种直接拼接回调数据的方法不可取,容易出现xss漏洞。
你试想,假设某个用户或这评论内容设置为
xxx<script>location.href='恶意网站'</script>或者
xxx<img src="恶意图片地址"/>甚至
xxx<script>document.write('直接重写整个页面html')</script>
建议你们试试自己评论这种利用xss注入的代码试试是不是存在问题
xxx<script>alert('存在xss注入')</script>我看到很多地方都存在这样直接拼接html的,除非后端做了处理,否则就是个任人宰割的页面内容。