discuzxss過濾

❶ xss攻擊alert關鍵字被過濾怎麼解決

網站防來SQL注入的代碼有吧自？ 類似這樣的code_string="',;,and,exec,insert,select,count,*,chr,asc,master,truncate,char,declare,net user,xp_cmdshell,/add,drop,from" 在代碼里邊再加幾個：,%20,我就是這么解決的

❷ 怎簡單過濾$_GET 防止XSS漏洞。

網路啊！問度娘

❸ 這個xss有過濾方案么

方案一：
避免XSS的方法之一主要是將用戶所提供的內容輸入輸出進行過濾，許多語言都專有提供對屬HTML的過濾：
可以利用下面這些函數對出現xss漏洞的參數進行過濾：
PHP的htmlentities()或是htmlspecialchars()。
Python 的 cgi.escape()。
ASP 的 ServerEncode()。
ASP.NET 的 ServerEncode() 或功能更強的 Microsoft Anti-Cross Site Scripting Library
Java 的 xssprotect(Open Source Library)。
Node.js 的 node-validator。
方案二：使用開源的漏洞修復插件。（ 需要站長懂得編程並且能夠修改伺服器代碼 ）

❹ 關於xss過濾器form提交帶附件問題

是不是XSS防禦

如果是XSS防禦 ，我網路搜索了幾條;

解決提交表單時Xss攻擊的問題

❺ 如何修復Discuz存儲型XSS漏洞（2013-06-20）大神們幫幫忙

親，可以來這里看看，關於XSS跨站腳本漏洞修復的問題！----/51onb.com

❻ xss漏洞中需要過濾哪些特殊的字元

點擊來系統上的騰訊電腦管家應用程自序界面，在主界面中，點擊修復漏洞按鈕
在漏洞修復界面中，展出可以安裝的修復程序列表，如果簡單的話，可以直接點擊右側的一鍵修復按鈕
點擊漏洞修復界面中的，已安裝，就會返回已經安裝的漏洞修復程序列表
點擊右上方的設置按鈕，進行漏洞修復設置
在設置界面中，可以設置程序的安裝和修復方式，需要提醒自己，然後進行修復操作

❼ 在xss中各種過濾的情況，在什麼地方可能存在注入點

XSS注入的本質就是:某網頁中根據用戶的輸入,不期待地生成了可執行的js代碼,並且js得到了瀏覽器的執行.意思是說,發給瀏覽器的字元串中,包含了一段非法的js代碼,而這段代碼跟用戶的輸入有關.常見的XSS注入防護,可以通過簡單的htmlspecialchars(轉義HTML特殊字元),strip_tags(清除HTML標簽)來解決,但是,還有一些隱蔽的XSS注入不能通過這兩個方法來解決,而且,有時業務需要不允許清除HTML標簽和特殊字元.下面列舉幾種隱蔽的XSS注入方法:IE6/7UTF7XSS漏洞攻擊隱蔽指數:5傷害指數:5這個漏洞非常隱蔽,因為它讓出現漏洞的網頁看起來只有英文字母(ASCII字元),並沒有非法字元,htmlspecialchars和strip_tags函數對這種攻擊沒有作用.不過,這個攻擊只對IE6/IE7起作用,從IE8起微軟已經修復了.你可以把下面這段代碼保存到一個文本文件中(前面不要有空格和換行),然後用IE6打開試試(沒有惡意代碼,只是一個演示):+/v8+ADw-script+AD4-alert(document.location)+ADw-/script+AD4-最容易中招的就是JSONP的應用了,解決方法是把非字母和數字下劃線的字元全部過濾掉.還有一種方法是在網頁開始輸出空格或者換行,這樣,UTF7-XSS就不能起作用了.因為只對非常老版本的IE6/IE7造成傷害,對Firefox/Chrome沒有傷害,所以傷害指數只能給4顆星.參考資料:UTF7-XSS不正確地拼接JavaScript/JSON代碼段隱蔽指數:5傷害指數:5Web前端程序員經常在PHP代碼或者某些模板語言中,動態地生成一些JavaScript代碼片段,例如最常見的:vara='<!--?phpechohtmlspecialchars($name);?';不想,$name是通過用戶輸入的,當用戶輸入a』;alert(1);時,就形成了非法的JavaScript代碼,也就是XSS注入了.只需要把上面的代碼改成:vara=

❽ 瀏覽器的Xss過濾器機制是什麼，為什麼有些反射型Xss不會觸發過濾器

首先要說明的是 它是webkit的一個模塊,而非chrome ,所以Safari和360安全瀏覽器極速模式內等webkit內核的瀏覽器都有XSS過濾容功能.
過濾方式：
通過模糊匹配 輸入參數(GET query| POST form data| Location fragment ) 與 dom樹,如果匹配中的數據中包含跨站腳本則不在輸出到上下文DOM樹中.另外,匹配的規則跟CSP沒有什麼關系,最多是有參考,CSP這種規范類的東西更新速度太慢跟不上現實問題的步伐.

關閉模式：
因為它有可能影響到業務,所以瀏覽器提供了關閉它的HTTP響應頭.
X-XSS-Protection: 0

繞過方式：
因為專門做這方面的原因所以對繞過也有所了解,目前我發布過的一個bypass 0day還可以繼續使用.
<svg><script xlink:href=data:,alert(1)></script></svg>

❾ 關於ASP網站XSS漏洞,請幫忙過濾一下，謝謝

FunctionCheckxss(byValChkStr)

DimStr
Str=ChkStr
IfIsNull(Str)Then
CheckStr=""
ExitFunction
EndIf

Str=Replace(Str,"&","&")
Str=Replace(Str,"'","´")
Str=Replace(Str,"""",""")
Str=Replace(Str,"<","<")
Str=Replace(Str,">",">")
Str=Replace(Str,"/","/")
Str=Replace(Str,"*","*")

Dimre
Setre=NewRegExp
re.IgnoreCase=True
re.Global=True
re.Pattern="(w)(here)"
Str=re.Replace(Str,"$1here")
re.Pattern="(s)(elect)"
Str=re.Replace(Str,"$1elect")
re.Pattern="(i)(nsert)"
Str=re.Replace(Str,"$1nsert")
re.Pattern="(c)(reate)"
Str=re.Replace(Str,"$1reate")
re.Pattern="(d)(rop)"
Str=re.Replace(Str,"$1rop")
re.Pattern="(a)(lter)"
Str=re.Replace(Str,"$1lter")
re.Pattern="(d)(elete)"
Str=re.Replace(Str,"$1elete")
re.Pattern="(u)(pdate)"
Str=re.Replace(Str,"$1pdate")
re.Pattern="(s)(or)"
Str=re.Replace(Str,"$1or")
re.Pattern="(
)"
Str=re.Replace(Str,"$1or")
'----------------------------------
re.Pattern="(java)(script)"
Str=re.Replace(Str,"$1script")
re.Pattern="(j)(script)"
Str=re.Replace(Str,"$1script")
re.Pattern="(vb)(script)"
Str=re.Replace(Str,"$1script")
'----------------------------------
IfInstr(Str,"expression")>0Then
Str=Replace(Str,"expression","e­xpression",1,-1,0)'防止xss注入
EndIf
Setre=Nothing
Checkxss=Str

EndFunction

使用方法：Checkxss(request.QueryString("變數"))，或者Checkxss(request.form("表單名"))

❿ 請教：xss打開的時候，css樣式的過濾問題

為了安全，CI過濾掉那些東西了。你要允許只能自己去修改CI源碼。