感谢楼主，最近新上线的图床之前没注意到这点，现在把 SVG 格式直接禁掉了~ 欢迎大家体验免费图床： https://img.lusyoe.com

@tes286 我们的业务大部分不涉及后端，前端开发完流水线同步发布到 oss ，通过用 CDN 访问，由于全景之类的项目会生成很多 xml 文件，文件内又有各种资源的引用，还要考虑性能等各种限制，所以对资源进行签名难度比较高。而且我们一直把 xml 当作一种可信任的配置格式。 @busier 被封禁能理解，主要是解决问题的过程曲折，损失的部分是学费吧。 @bthulu 一直兢兢业业，平时也很注意安全，连诱导分享都不敢做，所以没有提前准备对抗手段。😭

封可以 但应该提示正确的问题原因 解决后解封 关键不是封,而是处理方式太恶心

@bugly 感觉你 #3 这句 “黑灰产利用漏洞拿 xml 做了跳板，我们同为受害者”这种心态存在很大误区，包括其他很多从业者，都存在很大误区。。。 主体是受害人没错，但更大的是责任人，是责任人，是责任人。。是你们自己开发存在漏洞，才导致后续一系列后果。第一责任人是你们自己。如果因为漏洞造成用户的损失，第一责任人还是你们。

@pytth 感谢你的示例，fex 马上被封

@vace 这个就是 xss 漏洞，不是 xxe

@lscho 第一责任人不应该是干坏事和因此获利的人吗，谁能保证自己业务的几十万行代码，每一行都安全呢。如果这样推论：坏人去 A 家拿了菜刀砍人，A 是第一责任人，就因为 A 没锁上厨房的门、没把菜刀放保险箱？ 再向上推论微信平台、手机的存在才导致这一系列的后果，如果没有微信、没有手机、没有互联网，就不会有人在网上上当受骗。

讲个笑话,网易云都被搞过,更何况小企业了.

我两年前刚注册的域名都被微信直接屏蔽 说有危险链接，可是我甚至还未个这个域名做任何解析。也是申诉了将近一个月 才找到真人客服帮我处理了。

现在黑产因为需要依赖微信内的正常访问的域名，自己注册域名的风险很高，因此是每天都要去挖漏洞，来避免一些问题，1 是避免被查； 2 是降低域名的开销； 3 是减慢被封的速度；尤其是大厂大公司知名企业的域名，很多黑产都是比较喜欢的，因此腾讯、百度、网易、小米、美团、新浪、阿里等企业的域名很多都存在 XSS 以及文件上传漏洞。 - 常见于以下地方： 1 、微信小程序头像上传、反馈、发布； 2 、APP 的头像上传、文件上传、实名认证、营业执照上传等地； 3 、网页的文件上传例如富文本编辑器、头像上传、附件上传； - 漏洞常见问题： 1 、对象存储可通过重放，html 文件改后缀为 png 即可上传，一般没有做文件类型校验的对象存储； 2 、重放时 Content-Type:image/png ，改为 text/html 也可以轻松绕过，仍然是文件类型校验不严谨所致； 3 、验证 Content-Type 和后缀名，但是并未验证真实的二进制数据，在 html 代码中混入图片的头信息当然可以传上去； 4 、后缀名只限制 html ，但是未限制 htm\xhtml\xhtm\shtml\mhtm 等类型，这些仍然存在上传的风险； 5 、未限制 svg 和 xml 的上传，这些是存在执行 js 代码的风险的； 6 、对象存储容易通过 URL 传递?response-content-type=临时改变文件执行类型，上传的是 png ，链接虽然得到，但是无法执行 html ，对象存储可以拼接 ?response-content-type=text/html 即可将 png 作为 html 执行，即可出发 js 代码 - 以上是本人分析过很多很多黑产的一些常见案例。