不能挂马是违法行为,违反《网络安全法》及《刑法》第285、286条;浏览器不主动挂马,而是攻击者利用漏洞注入恶意脚本;开发者须防范xss、严格csp、过滤输入、启用sri等。
不能挂马。这是违法行为,严重违反《中华人民共和国网络安全法》《刑法》第285、286条,涉及非法获取计算机信息系统数据、破坏计算机信息系统等罪名。
为什么浏览器会执行恶意脚本
浏览器本身只执行符合标准的 HTML/JS/CSS,不会主动“挂马”。所谓“挂马”本质是利用网站漏洞(如未过滤的用户输入、文件上传缺陷、CMS插件漏洞)将恶意 <script></script> 注入到正常页面中,或诱导用户点击伪造链接触发 XSS、钓鱼、驱动下载等行为。
常见错误现象:Refused to execute inline script(CSP拦截)、Blocked loading mixed active content(HTTP资源被HTTPS页面拒绝)、控制台报 Uncaught SyntaxError: Unexpected token (HTML被当JS执行)——这些其实是安全机制在起作用,不是“挂马失败”,而是系统在阻止你干坏事。
真实开发中要防什么
如果你是网站开发者,真正该关注的是如何防止别人在你的页面上挂马:
立即学习“前端免费学习笔记(深入)”;
- 所有用户输入必须经
DOMPurify.sanitize()或服务端 HTML 转义(如htmlspecialchars())后才能输出 - 设置严格 CSP 响应头:
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'—— 切勿长期保留'unsafe-inline'和'unsafe-eval' - 禁用旧版 IE 的
execScript、避免使用eval()、setTimeout(string)、setInterval(string)等动态执行入口 - 静态资源走 CDN 时启用 SRI(Subresource Integrity),校验
integrity属性值是否匹配
遇到疑似被挂马怎么办
发现页面多出未知 <script src="http://xxx.xxx/xx.js"></script> 或控制台出现异常域名请求,说明已被入侵:
- 立即下线受影响页面,检查服务器是否有未授权文件(尤其
upload/、cache/、wp-content/目录下的 PHP/JS 文件) - 查看 Web 日志中是否存在大量
POST /wp-admin/admin-ajax.php或高频访问shell.php类路径 - 用
grep -r "document.write.*src" .扫描源码,定位硬编码恶意脚本 - 重置所有管理员密码,更新 CMS 核心与插件,关闭未用调试接口(如
/phpinfo.php、/test.php)
技术没有善恶,但执行者有责任边界。绕过 CSP、伪造 referer、注入 eval 字符串——这些操作在渗透测试中需授权,在生产环境里就是犯罪预备行为。别碰红线。
