这个“高危”是打了引号的,应该不算标题党吧。
事情是这样子的,我自定义了网站的404页面,就加了这么一句,echo $_SERVER['REDIRECT_URL']; 把当前页面路径打印出来,这样我就不用把目光移到浏览器的url地址栏上去看了。
后来,应该网站还是有那么一点流量吧,我收到了police部门的通知:网站存在高危跨站脚本攻击漏洞,“风险情况”,“处理建议”这些看得我一脸懵逼。
去了police部门,弄明白了原来漏洞是这样的。打开类似这样的url : https://xxxxx.com/《script》alert();《/script》里js代码时会被执行。 这个就是我自定义了404页面加了上面那一句弄出来的,确确实实是个漏洞,一时疏忽导致,解决办法是把上面那句删了就好。
最后给我普及了下网络安全的重要性,大意有:2零大就要召开了,如果网站被人入侵,植入反动标语那个就不好了; 网站已在工信部配案,但police部没有,还要在police部再备案一次;回去写了百多字的具体整改措施。
不知道这算不算是被请喝茶,但发这个贴子真的没有其它意思的,不要多想,只是勉励一下自己以及提醒一下本站的坛友们要引以为戒,写代码的时候要小心一些,不要一时图方便留下高危漏洞就不好了。
随便找个 template engine 都能给你转义 HTML tag 的