我猜，这个头像，没有在你们 小程序 里出的问题，而是头像资源被嵌入到别的什么页面里引起和你们无关的人访问，然后腾讯把你们域名给牵连了？

鸡蛋别放在同一个篮子里……老祖宗的智慧这一块 https://i.imgur.com/NIvxivj.png 以后还是多研究一下支付宝小程序的好，至少有个备用方案 不过“遭遇危机”这一栏里，你们是已经把 xml 删掉了再申诉的吗，还是当时还没发现一直在申诉，后续才发觉的

垄断惯的毛病

@est 我们是做 VR 、全景之类的在线创意服务，客户 A 定制的小程序允许用户上传头像，有恶意用户通过调用上传接口（接口允许 svg/xml ），然后 xml 被存储到了 bucket 中，接口返回了 url ，这个 url 就是上面提到的。 然后他们把这个 domain.com/xxx.xml 当成链接，引导别人访问，如上截图，会带上一些参数，再由内部的脚本解析参数，跳转到其他的页面。 客户 B 也和我们有合作，然后就是这些文件被识别到了，所在的主域名被封禁了，我们排查问题才发现这些 xml 的问题。。。。

@anivie 第一次申诉会有提示是什么原因，哪些文件造成的，然后就立马删除这些文件了，并遍历了桶内的全部文件。 第二天申诉还是一样的邮件回复，一天只能提交 1 次，我们想了各种方法，比如上面提到的，都是完全一样的邮件回复，坚持申诉了一周多，感觉不会有改变，就放弃了。

@tencentcloud 非常感谢 🙏🙏🙏 确实帮我们解决大问题！ 我们后续会加强网站安全建设，避免被黑灰产再次利用。

@est 因为它用户传的是 xml 根本不是 svg ，只是 svg 本身就是 xml 的一种，它没做好检测被绕过了

@drymonfidelia 它传的就是 svg 。svg 可以用 js 来做动画。 然后黑产引导用户直接访问这个 svg 链接。这个情况下的确 js 是可以执行的。 然后腾讯检测到，就把 up 主的域名封了。 归根结底还是这个 bucket 没管理好，被人利用来传别的东西，然后当成链接分享出去霍霍了。

svg 内嵌 script ？这个还真没想过

嗯，调用 oss 资源没有签名吗，有签名也不会被黑产引导直接访问链接吧（时效限制）。 还有一些其他的措施，可以缓解，比如加上 Referer 限制，强制将 Content-Type 设置为 application/octet-stream 和 x-content-type-options 为 nosniff ，可以部分缓解该情况。 还有一些法子，应该有用但是不太常规。比如，存图片到 oss 时，先加密，然后展示时前端解密。不用太复杂，也没必要藏密钥。总之就是让机器人识别不出这是什么东西。用 xor 就可以（虽然可能绕过，但是足够应对非针对性的攻击）。 不过最好还是别允许 svg 了吧。