镇江建站视频教程推荐

怎样利用XSS漏洞在别人网站注入链接

修改URL中的参数，替换为脚本，浏览器执行脚本，在HTML中插入内容，所以也可以插入链接。当然如果只是访问用户的浏览器上显示链接，搜索引擎不抓取这个URL的话，黑帽SEO也就不感兴趣了。问题就是 Google蜘蛛可以抓取被注入脚本的URL，也可以执行JS，所以也就可以看到被注入的链接。

防止XSS攻击，一是服务器端的程序要做安全过滤，最基本的是HTML转义，把<script>alert(‘XSS’)</script>当作被搜索的字符串，而不是要执行的脚本。二是浏览器端的XSS识别，现在的很多浏览器（如Chrome）看到URL中有可疑字符如script之类的，会直接拒绝打开页面。

如果Google蜘蛛和Google自己的Chrome浏览器一样能够识别XSS攻击，带有注入脚本的URL根本不抓取，就没有事情了。但根据Google官方文件说明，到目前为止，Google蜘蛛使用的是比较老的Chrome 41版本，而Chrome 41是没有XSS识别功能的。所以，有XSS程序漏洞的网站，有可能被Google蜘蛛抓取到被注入链接的URL。

XSS攻击注入的链接有效果吗？

仅仅能索引不一定说明问题，如果如某些垃圾链接一样被Google忽略，没有链接的效果，那也不能利用来操控外部链接。为了验证这种URL上的链接是否有链接效果，进一步做了实验。

在Revolut域名的URL上注入一个链接，指向自己实验网站上以前不存在、刚刚创建的一个页面，提交Revolut的URL，没多久，Google就抓取了Tom自己实验网站上的新页面，而且索引了这个页面，出现在搜索结果中：这说明，被注入的链接，至少是能起到吸引蜘蛛抓取的作用的。对权重流动和排名有没有普通链接一样的作用呢？顾虑到可能会对正常搜索结果的影响而没有进一步试验了。

这里不得不说，国外很多SEO是很有情怀的。我在想，如果是国内SEO们发现这个等级的漏洞，会报告给搜索引擎补上漏洞吗？大概会把这个漏洞为己所用，运用到死吧。

对搜索结果的潜在影响有多大？

如果这种方式注入的链接有正常链接的效果，对权重、排名有效，那么只要被黑帽SEO使用，对操控权重、排名显然有很大帮助，对搜索结果有多大潜在影响呢？

这有助于潜在地增加用户在站点上花费的时间，因为他们将同时打开多个页面。创建有帮助的 404 页面不应该简单地向用户返回“未找到页面”消息。它还应该为用户提供导航的其他选项，以便他们不会离开站点。更新博客不断创造新鲜的内容，可以为用户提供各种各样的主题来探索，有助于说服人们访问和停留在一个网站。展示信誉访问者总是在寻找一个网站的可信度。当访问者着陆你的网站时，他们会对内容进行审查，并评估其可靠性。作为一种帮助建立信誉和增加对访问者的信任的方法，包含对任何产品 / 服务的正面评论都是一个好主意。展示任何特殊的图标，并使网站安全，以帮助用户信任一个网站，从而减少他们跳出的可能性。

现在，如果你已经生活了几个星期，并且有一个网站的入站链接，而谷歌并没有从你的日志中明显地看到，通过谷歌搜索控制台获取和呈现提交它不会有什么伤害，但从来没有支付某人提交你的网站。额外提示：当有疑问时，只需使用谷歌的URL提交表单或谷歌搜索控制台中的“获取和呈现/提交”。网站地图现在不是一个很好的网站附加组件。随着我们在2018年转向移动优先算法，这一点变得更加重要。为什么？当google不能轻易地对你的网站的一部分进行爬行时，网站地图允许爬虫更好地找到这些页面。