前兩天英國的SEO老手Tom Anthony曝出一個 Google蜘蛛存在的漏洞，可能被黑帽SEO利用XSS漏洞在別人網(wǎng)站注入鏈接，而且這些鏈接確定會被Google蜘蛛抓取。這個漏洞如果被大規(guī)模利用，顯然是會影響權(quán)重流動和搜索排名的。

Tom去年11月就把這個漏洞匯報給Google了，不過到目前為止Google并沒有解決這個漏洞的意思，他們的說法是“Google的現(xiàn)有保護(hù)機制應(yīng)該能預(yù)防這種濫用，不過相關(guān)團(tuán)隊正在檢查驗證”。另外Google在回復(fù)Tom時提到了有些“內(nèi)部溝通上的困難”，公司大了是不是都會有這種問題？

既然Google過了5個月都沒有采取措施，Tom決定把漏洞公布出來，站長們好檢查自己網(wǎng)站是否有XSS漏洞，提取采取預(yù)防措施，以防自己網(wǎng)站被注入鏈接。Google同意Tom公布相關(guān)信息，看來還是挺自信的。

什么是XSS攻擊

XSS攻擊是Cross Site Scripting的縮寫，跨站腳本攻擊的意思。按說Cross Site Scripting的縮寫應(yīng)該是CSS，但就和頁面樣式表那個CSS重復(fù)了，所以跨站腳本攻擊這個改成了XSS。

XSS是一種代碼注入攻擊。大部分網(wǎng)站都會有某些功能腳本是可以任意修改URL的，比如搜索功能，UGC用戶貢獻(xiàn)內(nèi)容網(wǎng)站的提交功能，用腳本實現(xiàn)的轉(zhuǎn)向等等。比如搜索概念，URL經(jīng)常就是http://domain.com/search.php?keyword，或者h(yuǎn)ttp://domain.com/?s=keyword之類的（SEO每天一貼的搜索功能就是這個URL格式），其中的keyword是可以替換成任意字符的。

那么keyword部分被替換成腳本會發(fā)生什么？比如http://domain.com/?s=<script>alert(‘XSS’)</script>。有這種漏洞的網(wǎng)站就是在URL中注入惡意腳本時，沒有進(jìn)行安全過濾，而瀏覽器也沒有分辨出是惡意腳本，所以執(zhí)行了惡意腳本。

XSS可以被用來獲取用戶敏感信息，可以用來冒充用戶向網(wǎng)站發(fā)出請求等等，還可以執(zhí)行腳本，在生成的HTML代碼中插入內(nèi)容，這就是黑帽SEO可以利用來注入鏈接的漏洞。

怎樣利用XSS漏洞在別人網(wǎng)站注入鏈接

修改URL中的參數(shù)，替換為腳本，瀏覽器執(zhí)行腳本，在HTML中插入內(nèi)容，所以也可以插入鏈接。當(dāng)然如果只是訪問用戶的瀏覽器上顯示鏈接，搜索引擎不抓取這個URL的話，黑帽SEO也就不感興趣了。問題就是 Google蜘蛛可以抓取被注入腳本的URL，也可以執(zhí)行JS，所以也就可以看到被注入的鏈接。

防止XSS攻擊，一是服務(wù)器端的程序要做安全過濾，最基本的是HTML轉(zhuǎn)義，把<script>alert(‘XSS’)</script>當(dāng)作被搜索的字符串，而不是要執(zhí)行的腳本。二是瀏覽器端的XSS識別，現(xiàn)在的很多瀏覽器（如Chrome）看到URL中有可疑字符如script之類的，會直接拒絕打開頁面。

如果Google蜘蛛和Google自己的Chrome瀏覽器一樣能夠識別XSS攻擊，帶有注入腳本的URL根本不抓取，就沒有事情了。但根據(jù)Google官方文件說明，到目前為止，Google蜘蛛使用的是比較老的Chrome 41版本，而Chrome 41是沒有XSS識別功能的。所以，有XSS程序漏洞的網(wǎng)站，有可能被Google蜘蛛抓取到被注入鏈接的URL。

Tom做了實驗。某新銀行（Revolut）網(wǎng)站有XSS漏洞（天哪，銀行網(wǎng)站有XSS漏洞。不過現(xiàn)在已經(jīng)補上了），Tom在Revolut域名上構(gòu)造了個帶有注入腳本的URL，瀏覽器執(zhí)行后會在頁面頂部放上個鏈接。Google蜘蛛會怎樣處理這種URL呢？Tom用Google的頁面移動友好性測試工具驗證了一下，因為這個工具會按照 Google蜘蛛的方式渲染頁面。

顯然，Google能夠抓取URL，執(zhí)行注入的腳本，生成的頁面頂部是有那個被注入的鏈接的。這可是來自銀行域名的一個外部鏈接。

為了進(jìn)一步驗證，Tom把實驗URL提交給Google，結(jié)果說明，Google索引了這個URL，快照顯示，通過JS腳本注入的鏈接也正常出現(xiàn)在頁面上：

Tom還發(fā)現(xiàn)，通過XSS注入，也可以添加、修改HTML中的標(biāo)簽，比如canonical標(biāo)簽，這個也是挺危險啊。不過這個和本帖XSS注入鏈接關(guān)系不大，就不細(xì)說了。

XSS攻擊注入的鏈接有效果嗎？

僅僅能索引不一定說明問題，如果如某些垃圾鏈接一樣被Google忽略，沒有鏈接的效果，那也不能利用來操控外部鏈接。為了驗證這種URL上的鏈接是否有鏈接效果，Tom進(jìn)一步做了實驗。

Tom在Revolut域名的URL上注入一個鏈接，指向自己實驗網(wǎng)站上以前不存在、剛剛創(chuàng)建的一個頁面，提交Revolut的URL，沒多久，Google就抓取了Tom自己實驗網(wǎng)站上的新頁面，而且索引了這個頁面，出現(xiàn)在搜索結(jié)果中：

這說明，被注入的鏈接，至少是能起到吸引蜘蛛抓取的作用的。對權(quán)重流動和排名有沒有普通鏈接一樣的作用呢？Tom顧慮到可能會對正常搜索結(jié)果的影響而沒有進(jìn)一步試驗了。

這里不得不說，國外很多SEO是很有情懷的。我在想，如果是國內(nèi)SEO們發(fā)現(xiàn)這個等級的漏洞，會報告給搜索引擎補上漏洞嗎？大概會把這個漏洞為己所用，運用到死吧。

對搜索結(jié)果的潛在影響有多大？

如果這種方式注入的鏈接有正常鏈接的效果，對權(quán)重、排名有效，那么只要被黑帽SEO使用，對操控權(quán)重、排名顯然有很大幫助，對搜索結(jié)果有多大潛在影響呢？

https://www.openbugbounty.org/ 網(wǎng)站上列出了12萬5千多有XSS漏洞的網(wǎng)站，其中包括260個.gov政府網(wǎng)站，971個.edu域名網(wǎng)站，包括了前500個鏈接最多網(wǎng)站中的195個，想象一下潛在的影響會有多大。

當(dāng)然，Google很自信，他們的防御機制應(yīng)該可以鑒別出這種黑帽方法，我猜想Google內(nèi)部調(diào)查說明，這種方法到目前為止沒有被利用。不過，這是 Tom發(fā)布信息之前，現(xiàn)在呢？我估計有很多人已經(jīng)在瘋狂實驗這個方法的有效性了。我這篇帖子發(fā)出來，國內(nèi)肯定也會有SEO去嘗試。那么，大規(guī)模濫用這種注入方法的情況下，Google的預(yù)防機制還會有效嗎？

另一方面，幾乎可以肯定， Tom的帖子發(fā)出來，會迫使Google必須要積極采取措施，補上這個漏洞，不能讓XSS攻擊注入鏈接真的成為有效的SEO作弊方法。想嘗試的，盡快吧，很快就會沒用的。

5月8號更新：Google在7號的Google I/O開發(fā)大會上宣布，Google蜘蛛將使用最新版的Chrome引擎，目前版本是74，以后都會保持使用最新版本。看來Google早就做了準(zhǔn)備，所以就這么有信心。