Discuz! qq 互聯插件 dom xss 漏洞的暫時解決方案

漏洞描述：
在 JS 字符串中，字符還可以表示為 unicode 的形式。
即：單引號還可以表示為 u0027 或 x27 。由於沒有過濾" " 繞過了防禦，形成漏洞。

漏洞危害：
1. 惡意用户可以使用該漏洞來盜取用户賬户信息、模擬其他用户身份登錄，更甚至可以修改網頁呈現給其他用户的內容。

2. 惡意用户可以使用 JavaScript 、 VBScript 、 ActiveX 、 HTML 語言甚至 Flash 應用的漏洞來進行攻擊，從而來達到獲取其他的用户信息目的。

解決方法：

臨時解決方案：（感謝站長飛鳥網絡提供的臨時解決方案）

Discuz! X2 需要修改的文件: source/module/connect/connect_login.php

Discuz! X2.5 需要修改的文件: source/plugin/qqconnect/connect/connect_login.php

（版本不同，修復方法是一樣的）

在 19 行 $referer = dreferer(); 的上面加上如下代碼：

$_GET['referer'] = strtr($_GET['referer'],'','/');

官方補丁：
2013-2-22 官方已發佈補丁，推薦站長使用官方補丁進行升級