以后补充。
------------------------
1,基本的措施:前后台进行防xss注入。前台对有用户输入的地方进行过滤,后台也可进行此类操作。
2,考虑页面链接/接口是不是被拼接了脚本;是不是篡改了链接的路径;
3,在违规的页面处理完毕后,运营或产品同学给moment@tencent.com 发一封解封申请邮件。邮件标题:公司名/个人姓名+事项说明(如域名解封申请)。邮件内容:提供域名,说明被封的原因(恶意攻击占多数吧),附上自己网站的链接,贴上自己的域名备案截图。
4,怎么预防:升级https协议;过滤非法的拼接参数;后台映射地址采用绝对路径(接口名必须按照正规写法加'/')