我想问问39块地板砖可以有多少面积

中国质量新闻网讯 9月29日，浙江省食药监局官网发布对浙江辰和医疗设备有限公司飞行检查通报。

浙江辰和医疗设备有限公司

嘉兴市秀洲区新城街道义庄路869号

嘉兴市秀洲区新城街道义庄路869号

《医疗器械生产质量管理规范》

《医疗器械生产质量管理规范附录无菌医疗器械》

主要缺陷和问题及其判定依据

本表中所列出的缺陷和问题，只是本次飞行检查的发现，不代表企业缺陷和问题的全部。针对本次检查所发现的缺陷，企业应当落实质量安全主体责任，分析研判原因，评估安全风险，采取必要措施管控风险。

现场检查共发现10项一般缺陷：

《输液泵工艺流程图（100B/200B）》（SZB/GY-01-01 第C版第0次修改）的硅胶挤出工艺参数中缺少φ13.1管径硅胶管的相关参数。

2017年11月17日批准的JS/WJ-08-07《产品初始污染菌试验规程》引用的检验依据GB 为作废标准。

部分文件存在文字性错误，如：成品检验规程中紫外吸光度中选用的紫外光波长单位错写成mm，无菌检验规程中阳性对照试验菌误写成枯草芽孢杆菌。

供应商提供的一次性使用输注泵的外购件PVC膜（批号180810）的检验报告（报告日期），与2018年1月15日签订的供货合同中的技术要求不符，具体检验项目及技术要求存在较大的差异。

《炼胶工艺卡》（SZB/GY-03-03第C版第0次修改）中对炼胶时间统一规定与《硅橡胶炼胶作业指导书》（JS/WJ-07-42第B版第0次修改）按炼胶量区分炼胶时间的要求不一致。

《成品包装工序卡（通用）》中留样量统一计算在检验量中，无法体现实际留样数量。

实验室万分之一和千分之一两台分析天平置放于普通工作台无防震措施，两边分别是水槽和水浴锅。

成品检验记录中环氧乙烷标准曲线贮备液浓度和环氧乙烷残留量试验规程（JS/WJ-08-09-1）中要求的浓度不一致。

储液装置（卡号18040,生产日期815）缺少过程检验记录。

《自制（入库）零部件检验卡片》（SZB/JG-02 第C版第0次修改）中规定储液囊强度检测方法与实际操作的方式不一致。

《PCA-100B/200B型输注泵工序检验规程》(SZB/JG-03-03第C版第0次修改)中工序的过程检验项目及抽检量与实际不一致。

《质量数据分析方法》（JS/WJ-04-03 第B版第1次修改）中规定储液囊（管）合格率下限为85%，但企业未对《储液装置工序卡》（卡号18040）中合格率低于85%的情况（1120个储液囊（管）检测不合格，总数5238个）进行质量数据分析评审。

2011年9月份企业实施了净化车间臭氧消毒效果验证，之后未对净化车间臭氧效果进行确认，且2011年9月份仅用浓度指示卡验证浓度。

纯化水、注射用水的检验报告与检验原始记录基本无区分，检验原始记录中无检验环境、所用检验仪器等信息，其中注射用水的细菌内毒素只有检验结果却无检验原始记录。

2018年1月16-30日检验的7个批次留样产品的无菌检验原始记录中取样量为每批1个样品，与JS/WJ-08-08《无菌及灭菌确认试验规程》中规定的无菌检验取样量3个不符。

针对该公司检查中发现的问题，由嘉兴市市场监督管理局依据《医疗器械监督管理条例》（国务院令680号）督促企业限期整改，必要时跟踪复查，并要求企业评估产品安全风险，对有可能导致安全隐患的，应按照《医疗器械召回管理办法》的规定召回相关产品。企业完成整改后，嘉兴市市场监督管理局应将相关情况及时上报省局医疗器械监管处。

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发展，不断引入 CSP、Same-Site Cookies 等新技术来增强安全性，但是仍存在很多潜在的威胁，这需要前端技术人员不断进行“查漏补缺”。

近几年，美团业务高速发展，前端随之面临很多安全挑战，因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案，将会做成一个系列，希望可以帮助前端人员在日常开发中不断预防和修复安全漏洞。本文是该系列的第一篇。

本文我们会讲解 XSS ，主要包括：

1. XSS 攻击的预防和检测

在开始本文之前，我们先提出一个问题，请判断以下两个说法是否正确：

1. XSS 防范是后端 RD（研发人员）的责任，后端 RD 应该在所有用户提交数据的接口，对敏感字符进行转义，才能进行下一步操作。
2. 所有要插入到页面上的数据，都要通过一个敏感字符过滤函数的转义，过滤掉通用的敏感字符后，就可以插入到页面中。

如果你还不能确定答案，那么可以带着这些问题向下看，我们将逐步拆解问题。

XSS 漏洞的发生和修复

XSS 攻击是页面被注入了恶意的代码，为了更形象的介绍，我们用发生在小明同学身边的事例来进行说明。

某天，公司需要一个搜索页面，根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下：

然而，在上线后不久，小明就接到了安全组发来的一个神秘链接：

小明带着一种不祥的预感点开了这个链接[请勿模仿，确认安全的链接才能点开]。果然，页面中弹出了写着"XSS"的对话框。

可恶，中招了！小明眉头一皱，发现了其中的奥秘：

HTML 中返回给浏览器。形成了如下的 HTML：

这里不仅仅 div 的内容被注入了，而且 input 的 value 属性也被注入， alert 会弹出两次。

面对这种情况，我们应该如何进行防范呢？

其实，这只是浏览器把用户的输入当成了脚本进行了执行。那么只要告诉浏览器这段内容是文本就可以了。

聪明的小明很快找到解决方法，把这个漏洞修复：

经过了转义函数的处理后，最终浏览器接收到的响应为：

恶意代码都被转义，不再被浏览器执行，而且搜索词能够完美的在页面显示出来。

通过这个事件，小明学习到了如下知识：

• 通常页面中包含的用户输入内容都在固定的容器或者属性内，以文本的形式展示。
• 攻击者利用这些页面的用户输入片段，拼接特殊格式的字符串，突破原有位置的限制，形成了代码片段。
• 攻击者通过在目标网站上注入脚本，使之在用户的浏览器上运行，从而引发潜在风险。
• 通过 HTML 转义，可以防止 XSS 攻击。[事情当然没有这么简单啦！请继续往下看]。

自从上次事件之后，小明会小心的把插入到页面中的数据进行转义。而且他还发现了大部分模板都带有的转义配置，让所有插入到页面中的数据都默认进行转义。这样就不怕不小心漏掉未转义的变量啦，于是小明的工作又渐渐变得轻松起来。

但是，作为导演的我，不可能让小明这么简单、开心地改 Bug 。

小明打开对应页面的源码，发现有以下内容：

虽然代码不会立即执行，但一旦用户点击 a 标签时，浏览器会就会弹出“XSS”。

在这里，用户的数据并没有在位置上突破我们的限制，仍然是正确的 href 属性。但其内容并不是我们所预期的类型。

原来不仅仅是特殊字符，连 javascript: 这样的字符串如果出现在特定的位置也会引发 XSS 攻击。

小明眉头一皱，想到了解决办法：

这也能执行？.....好吧，浏览器就是这么强大。

小明欲哭无泪，在判断 URL 开头是否为 javascript: 时，先把用户输入转成了小写，然后再进行比对。

不过，所谓“道高一尺，魔高一丈”。面对小明的防护策略，安全组就构造了这样一个连接：

最终，小明选择了白名单的方法，彻底解决了这个漏洞：

通过这个事件，小明学习到了如下知识：

• 做了 HTML 转义，并不等于高枕无忧。

于是攻击者构建出一个 URL，然后诱导用户去点击：

URL，诱导更多人点击，不断放大攻击范围。这种窃用受害者身份发布恶意内容，层层放大攻击范围的方式，被称为“XSS 蠕虫”。

1. 合适的 HTML 转义可以有效避免 XSS 漏洞。
2. 完善的转义库需要针对上下文制定多种规则，例如 HTML 属性、HTML 文字内容、HTML 注释、跳转链接、内联 JavaScript 字符串、内联 CSS 样式表等等。
3. 业务 RD 需要根据每个插入点所处的上下文，选取不同的转义规则。

通常，转义库是不能判断插入点上下文的（Not Context-Aware），实施转义规则的责任就落到了业务 RD 身上，需要每个业务 RD 都充分理解 XSS 的各种情况，并且需要保证每一个插入点使用了正确的转义规则。

这种机制工作量大，全靠人工保证，很容易造成 XSS 漏洞，安全人员也很难发现隐患。

2009年，Google 提出了一个概念叫做：。

所谓 Context-Aware，就是说模板引擎在解析模板字符串的时候，就解析模板语法，分析出每个插入点所处的上下文，据此自动选用不同的转义规则。这样就减轻了业务 RD 的工作负担，也减少了人为带来的疏漏。

模板引擎经过解析后，得知三个插入点所处的上下文，自动选用相应的转义规则：

课后作业：XSS 攻击小游戏

以下是几个 XSS 攻击小游戏，开发者在网站上故意留下了一些常见的 XSS 漏洞。玩家在网页上提交相应的输入，完成 XSS 攻击即可通关。

在玩游戏的过程中，请各位读者仔细思考和回顾本文内容，加深对 XSS 攻击的理解。

前端安全系列文章将对 XSS、CSRF、网络劫持、Hybrid 安全等安全议题展开论述。下期我们要讨论的是 CSRF 攻击，敬请关注。

李阳，美团点评前端工程师。2016年加入美团点评，负责美团外卖 Hybrid 页面性能优化相关工作。