帮朋友做的公司网站给当地网安大队通知有漏洞

咋解决的，如果用 PHP 搭建会不会就没这个漏洞了

@HelloWorld556 #1 .NET Core 写的，过滤用户输入特殊字符串即可。

@HelloWorld556 这跟语言有啥关系

反正之前用第三方 PHP 系统搭建的网站经常给篡改网页，都怕了。

搭个前置 WAF ，常见攻击就免疫了

遇到过，不过我那个整改通知很白痴，不过也改了，算是帮他们冲下业绩。

第三方 PHP 建站系统防御其实也很简单的，Nginx 配置两个站点，一个源站做管理站，一个公开站。公开站在 Nginx 反代源站，只接受 GET 请求，并且过滤 URL 参数，神仙来黑不了。源站另一个子域名，配置开源系统以外的访问限制，比如要求特定 UA ，然后给客户浏览器装修改 UA 扩展，配置好 UA 字符串。

@musi 我不会 PHP ，他说的用 PHP 搭建，我理解是有什么脚手架生成，可能会避免这个问题

@Conantv2 #6 “Nginx 反代源站，只接受 GET 请求”这个思路不错。

网上大部分基于 PHP 的系统，都是一身洞

@idragonet #4 这种乱扣帽子的行为看到就直接 B

@stevenchengmask 好多网站写的太屎，前置一个 WAF ，页面功能都异常了😂

不是，网安大队帮忙扫描 bug 的嘛？是不是 内部应用。

我们这里扫了 bug ，还贴心的介绍了第三方工作做加固，16 万 8
后来协商了做一次加固，一份报告，1 万块

我们这里扫了 bug ，还贴心的介绍了第三方公司做加固，16 万 8
后来协商了做一次加固，一份报告，1 万块

PHP 躺枪啊，防注入现在框架基本做的很好了，你用的肯定不是主流框架吧，是不是 n 年不更新的后台管理系统。

@chperfect #12 网络与信息安全信息通报中心，了解一下，各省都有。网络安全法发布之后，各地网安自己跟合作单位都会在互联网上扫描，查到漏洞就会通知网站负责人整改，不改就处罚。

大概意思，看起来像是 xss 漏洞。这锅我个人感觉 PHP 可不想背~

xss 啊，这个和后台关系不大，后台过滤只是帮前台擦屁股；如果用成熟的 vue/react 这样的框架，并且不使用 v-html 等强行设置不转义的 html ，基本不会有 xss 漏洞

@clue 恰恰相反，应该是前端帮后端擦屁股

@codespots #19 健壮的前端，是可以显示任意字符的，除非原始需求就是要支持用户输入 html ，否则应该一律按文本展示，这时是不会存在 xss 漏洞的