这是什么套路？是注入攻击还是伪装非法业务？

我认为是被黑了，这个平台 11 年就有了，有备案，有商场等各种业务

被搞了。可以丢给 LLM 分析一下。大概就是 s.src=atob 后面那段，你自己 base64 解码也能看到加载的 js

xss 注入

典型的 XSS 注入，URL 解码一下就很清楚了，让 img 的 src 等于无效地址，然后通过 onerror 触发脚本，从第三方网页加载 js 文件插入到当前网页并执行

看着是利用这种人畜无害的链接做跳转站

XSS

跟了一下，跳转过去是一个游戏网站（具体链接就不放了，跟踪所加载的 js 代码很容易发现）的 未鉴权 且 未做类型限制 的图床，被人抓口子上传非法网页了

反射型 XSS 。
这网站有一处漏洞，会把 get 参数的输入内容拼接到网页中。攻击者往 get 参数里面插跳转网页的 html 代码，当用户点击含有这段代码的连接时，就会触发 xss 跳转到恶意网站。
由于用户点击的链接其实是合法网站（之后才跳转非法网站），所以可以绕过一些安全检测（例如微信的“该网址已被多人举报”）。

@MFWT @Vancion @imlonghao @pusheax @renmu @sheeta 学到了