discuzxss过滤

❶ xss攻击alert关键字被过滤怎么解决

网站防来SQL注入的代码有吧自？ 类似这样的code_string="',;,and,exec,insert,select,count,*,chr,asc,master,truncate,char,declare,net user,xp_cmdshell,/add,drop,from" 在代码里边再加几个：,%20,我就是这么解决的

❷ 怎简单过滤$_GET 防止XSS漏洞。

网络啊！问度娘

❸ 这个xss有过滤方案么

方案一：
避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤，许多语言都专有提供对属HTML的过滤：
可以利用下面这些函数对出现xss漏洞的参数进行过滤：
PHP的htmlentities()或是htmlspecialchars()。
Python 的 cgi.escape()。
ASP 的 ServerEncode()。
ASP.NET 的 ServerEncode() 或功能更强的 Microsoft Anti-Cross Site Scripting Library
Java 的 xssprotect(Open Source Library)。
Node.js 的 node-validator。
方案二：使用开源的漏洞修复插件。（ 需要站长懂得编程并且能够修改服务器代码 ）

❹ 关于xss过滤器form提交带附件问题

是不是XSS防御

如果是XSS防御 ，我网络搜索了几条;

解决提交表单时Xss攻击的问题

❺ 如何修复Discuz存储型XSS漏洞（2013-06-20）大神们帮帮忙

亲，可以来这里看看，关于XSS跨站脚本漏洞修复的问题！----/51onb.com

❻ xss漏洞中需要过滤哪些特殊的字符

点击来系统上的腾讯电脑管家应用程自序界面，在主界面中，点击修复漏洞按钮
在漏洞修复界面中，展出可以安装的修复程序列表，如果简单的话，可以直接点击右侧的一键修复按钮
点击漏洞修复界面中的，已安装，就会返回已经安装的漏洞修复程序列表
点击右上方的设置按钮，进行漏洞修复设置
在设置界面中，可以设置程序的安装和修复方式，需要提醒自己，然后进行修复操作

❼ 在xss中各种过滤的情况，在什么地方可能存在注入点

XSS注入的本质就是:某网页中根据用户的输入,不期待地生成了可执行的js代码,并且js得到了浏览器的执行.意思是说,发给浏览器的字符串中,包含了一段非法的js代码,而这段代码跟用户的输入有关.常见的XSS注入防护,可以通过简单的htmlspecialchars(转义HTML特殊字符),strip_tags(清除HTML标签)来解决,但是,还有一些隐蔽的XSS注入不能通过这两个方法来解决,而且,有时业务需要不允许清除HTML标签和特殊字符.下面列举几种隐蔽的XSS注入方法:IE6/7UTF7XSS漏洞攻击隐蔽指数:5伤害指数:5这个漏洞非常隐蔽,因为它让出现漏洞的网页看起来只有英文字母(ASCII字符),并没有非法字符,htmlspecialchars和strip_tags函数对这种攻击没有作用.不过,这个攻击只对IE6/IE7起作用,从IE8起微软已经修复了.你可以把下面这段代码保存到一个文本文件中(前面不要有空格和换行),然后用IE6打开试试(没有恶意代码,只是一个演示):+/v8+ADw-script+AD4-alert(document.location)+ADw-/script+AD4-最容易中招的就是JSONP的应用了,解决方法是把非字母和数字下划线的字符全部过滤掉.还有一种方法是在网页开始输出空格或者换行,这样,UTF7-XSS就不能起作用了.因为只对非常老版本的IE6/IE7造成伤害,对Firefox/Chrome没有伤害,所以伤害指数只能给4颗星.参考资料:UTF7-XSS不正确地拼接JavaScript/JSON代码段隐蔽指数:5伤害指数:5Web前端程序员经常在PHP代码或者某些模板语言中,动态地生成一些JavaScript代码片段,例如最常见的:vara='<!--?phpechohtmlspecialchars($name);?';不想,$name是通过用户输入的,当用户输入a’;alert(1);时,就形成了非法的JavaScript代码,也就是XSS注入了.只需要把上面的代码改成:vara=

❽ 浏览器的Xss过滤器机制是什么，为什么有些反射型Xss不会触发过滤器

首先要说明的是 它是webkit的一个模块,而非chrome ,所以Safari和360安全浏览器极速模式内等webkit内核的浏览器都有XSS过滤容功能.
过滤方式：
通过模糊匹配 输入参数(GET query| POST form data| Location fragment ) 与 dom树,如果匹配中的数据中包含跨站脚本则不在输出到上下文DOM树中.另外,匹配的规则跟CSP没有什么关系,最多是有参考,CSP这种规范类的东西更新速度太慢跟不上现实问题的步伐.

关闭模式：
因为它有可能影响到业务,所以浏览器提供了关闭它的HTTP响应头.
X-XSS-Protection: 0

绕过方式：
因为专门做这方面的原因所以对绕过也有所了解,目前我发布过的一个bypass 0day还可以继续使用.
<svg><script xlink:href=data:,alert(1)></script></svg>

❾ 关于ASP网站XSS漏洞,请帮忙过滤一下，谢谢

FunctionCheckxss(byValChkStr)

DimStr
Str=ChkStr
IfIsNull(Str)Then
CheckStr=""
ExitFunction
EndIf

Str=Replace(Str,"&","&")
Str=Replace(Str,"'","´")
Str=Replace(Str,"""",""")
Str=Replace(Str,"<","<")
Str=Replace(Str,">",">")
Str=Replace(Str,"/","/")
Str=Replace(Str,"*","*")

Dimre
Setre=NewRegExp
re.IgnoreCase=True
re.Global=True
re.Pattern="(w)(here)"
Str=re.Replace(Str,"$1here")
re.Pattern="(s)(elect)"
Str=re.Replace(Str,"$1elect")
re.Pattern="(i)(nsert)"
Str=re.Replace(Str,"$1nsert")
re.Pattern="(c)(reate)"
Str=re.Replace(Str,"$1reate")
re.Pattern="(d)(rop)"
Str=re.Replace(Str,"$1rop")
re.Pattern="(a)(lter)"
Str=re.Replace(Str,"$1lter")
re.Pattern="(d)(elete)"
Str=re.Replace(Str,"$1elete")
re.Pattern="(u)(pdate)"
Str=re.Replace(Str,"$1pdate")
re.Pattern="(s)(or)"
Str=re.Replace(Str,"$1or")
re.Pattern="(
)"
Str=re.Replace(Str,"$1or")
'----------------------------------
re.Pattern="(java)(script)"
Str=re.Replace(Str,"$1script")
re.Pattern="(j)(script)"
Str=re.Replace(Str,"$1script")
re.Pattern="(vb)(script)"
Str=re.Replace(Str,"$1script")
'----------------------------------
IfInstr(Str,"expression")>0Then
Str=Replace(Str,"expression","e­xpression",1,-1,0)'防止xss注入
EndIf
Setre=Nothing
Checkxss=Str

EndFunction

使用方法：Checkxss(request.QueryString("变量"))，或者Checkxss(request.form("表单名"))

❿ 请教：xss打开的时候，css样式的过滤问题

为了安全，CI过滤掉那些东西了。你要允许只能自己去修改CI源码。