帮朋友做的公司网站给当地网安大队通知有漏洞

咋解决的，如果用 PHP 搭建会不会就没这个漏洞了

@HelloWorld556 #1 .NET Core 写的，过滤用户输入特殊字符串即可。

@HelloWorld556 这跟语言有啥关系

反正之前用第三方 PHP 系统搭建的网站经常给篡改网页，都怕了。

搭个前置 WAF ，常见攻击就免疫了

遇到过，不过我那个整改通知很白痴，不过也改了，算是帮他们冲下业绩。

第三方 PHP 建站系统防御其实也很简单的，Nginx 配置两个站点，一个源站做管理站，一个公开站。公开站在 Nginx 反代源站，只接受 GET 请求，并且过滤 URL 参数，神仙来黑不了。源站另一个子域名，配置开源系统以外的访问限制，比如要求特定 UA ，然后给客户浏览器装修改 UA 扩展，配置好 UA 字符串。

@musi 我不会 PHP ，他说的用 PHP 搭建，我理解是有什么脚手架生成，可能会避免这个问题

@Conantv2 #6 “Nginx 反代源站，只接受 GET 请求”这个思路不错。

网上大部分基于 PHP 的系统，都是一身洞

@idragonet #4 这种乱扣帽子的行为看到就直接 B

@stevenchengmask 好多网站写的太屎，前置一个 WAF ，页面功能都异常了

不是，网安大队帮忙扫描 bug 的嘛？是不是 内部应用。

我们这里扫了 bug ，还贴心的介绍了第三方工作做加固，16 万 8
后来协商了做一次加固，一份报告，1 万块

我们这里扫了 bug ，还贴心的介绍了第三方公司做加固，16 万 8
后来协商了做一次加固，一份报告，1 万块

PHP 躺枪啊，防注入现在框架基本做的很好了，你用的肯定不是主流框架吧，是不是 n 年不更新的后台管理系统。

@chperfect #12 网络与信息安全信息通报中心，了解一下，各省都有。网络安全法发布之后，各地网安自己跟合作单位都会在互联网上扫描，查到漏洞就会通知网站负责人整改，不改就处罚。

大概意思，看起来像是 xss 漏洞。这锅我个人感觉 PHP 可不想背~

xss 啊，这个和后台关系不大，后台过滤只是帮前台擦屁股；如果用成熟的 vue/react 这样的框架，并且不使用 v-html 等强行设置不转义的 html ，基本不会有 xss 漏洞

@clue 恰恰相反，应该是前端帮后端擦屁股

@codespots #19 健壮的前端，是可以显示任意字符的，除非原始需求就是要支持用户输入 html ，否则应该一律按文本展示，这时是不会存在 xss 漏洞的

@clue 明显是后端没做好吧，接口层面的 xss... 前端校验、防 xss 做再多也只是页面交互层面

网安可以说扫就扫么，万一扫挂了算谁的。。

14 楼值得多理解理解

@justFxxk2060 ,怎么听起来感觉像是创收...

@codespots #19 前端只是交互而已，最终到达的还是得后端处理

我现在知道 ucloud 香港段那群 bot 是用来干嘛的了。

xss 有后端的也有前端的，后端就是把攻击者把恶意脚本通过各种上传漏洞，变成了用户正常网页的一部分，从而破坏网页，窃取用户机密。

@okakuyang 前端的就是从 url 注入了恶意脚本，诱导用户点击，从而攻击。

@leefor2020 创收是勒令你去做等级保护认证

@idragonet #2 这功能 PHP 都是自带的

还不如 PHP 的框架 。。。

都能 js 注入了，

你还不如直接用主流的 php 框架。

有没有可能，你用的第三方程序并不靠谱。

靠谱的第三方程序比你自己写的安全问题少多了。

并且是否篡改跟你服务器安全防护也有关系，程序再靠谱你服务器安全防护不靠谱也是白费。

网安技术支撑+等保人 来解释下，这个不是地方行为，是上级扫的。无时无刻不在盯着扫描的。特征一抓一堆的。按要求整改就行了。 能被 xss 攻击说明开发经验薄弱。因为这个属于常识问题。商用不会遇到。hw 都不收 xss 的基本上。

这网安还是干事的啊

“给”还是“被”？

记住一句话：无利不起早，至于是啥样子的利益链条…我在说梦话。

避免 xss 最好的办法就是避免直接输出，现在主流的 php 框架，都是用模板引擎，模板引擎你不强制输出原代码的话，是会自动过滤掉 xss 攻击的，就不存在有这个问题。前后端分离项目的话，比如 vue 这种前段框架，自己不骚操作的话，输出显示内容也是会自动过滤掉 xss 攻击的。

归根到底还是水平问题。。。

这不是正常操作么？配合整改就是了。

如果需要，我可以帮你安装 safeline ，并使用 awvs 扫描网站进行安全检测。