一次 XML 上传导致域名被封的经历复盘（腾讯网址安全中心是不是只剩下机器人了）

事件背景

今年二月为客户开发了一个小程序页面，其中包含用户自定义头像功能。在上传白名单中，我们误将 xml 文件当作 svg 格式放行（后端校验存在疏漏）。不过很快就发现并修复了 bug ，但忽略了这一点竟然已被灰产利用，少数 xml 文件被上传至 OSS 。

问题根源

谁也想不到，这些仅 3KB 大小的 xml 文件中竟含有一行可执行的外部 JS 恶意脚本的代码。它们静静地存储了数月，直到被某些“有缘人”访问触发（看起来访问后会跳转到其他的链接，用来隐藏入口）。

遭遇危机

八月，我们为客户上线了一个宣传页面，投放了朋友圈广告。就在投放结束当晚域名突然被腾讯网址安全中心封禁，无法在微信生态中打开。找了三四天客服，只得到回应：拦截来自手机管家，无法直接处理，给了个入口让去申诉，我们尝试了多种方法申诉，比如：

• 逐个清理资源文件，甚至整个文件夹，刷新 CDN 缓存，再提交申诉；
• 将客户资源迁移至新的 OSS ，更换解析路线，再次申诉；
• 甚至在夜里偷偷停止解析域名，再去填写申诉材料都无效。

能想到的所有方案都尝试了，提交的每次申诉，大约 1 小时后，都收到固定的邮件回复：网站存在恶意链接

事件影响

由于恰好发生在广告投放结束当晚，最后一波流量丢了，客户已印制的二维码物料也全部作废，承担了全部赔偿，这个项目等于白干，还丢了客户信任。

后续还有很多影响吧，一些存量客户的小程序嵌入的网页也因域名封禁无法打开，只能逐一协调迁移、更换域名。这件事已经过去半个月，一些过往案例在微信中也无法打开，我们已放弃申诉，损失惨重。

唉，每年各项业务向微信缴纳了大量的费用，却在需要解决问题的时候求助无门，没有标准文档，没有解决问题的方式，只有冷漠的机器回复。