Discuz! qq 互聯外掛 dom xss 漏洞的暫時解決方案

漏洞描述：
在 JS 字串中，字元還可以表示為 unicode 的形式。
即：單引號還可以表示為 u0027 或 x27 。由於沒有過濾" " 繞過了防禦，形成漏洞。

漏洞危害：
1. 惡意使用者可以使用該漏洞來盜取使用者賬戶資訊、模擬其他使用者身份登入，更甚至可以修改網頁呈現給其他使用者的內容。

2. 惡意使用者可以使用 JavaScript 、 VBScript 、 ActiveX 、 HTML 語言甚至 Flash 應用的漏洞來進行攻擊，從而來達到獲取其他的使用者資訊目的。

解決方法：

臨時解決方案：（感謝站長飛鳥網路提供的臨時解決方案）

Discuz! X2 需要修改的檔案: source/module/connect/connect_login.php

Discuz! X2.5 需要修改的檔案: source/plugin/qqconnect/connect/connect_login.php

（版本不同，修復方法是一樣的）

在 19 行 $referer = dreferer(); 的上面加上如下程式碼：

$_GET['referer'] = strtr($_GET['referer'],'','/');

官方補丁：
2013-2-22 官方已釋出補丁，推薦站長使用官方補丁進行升級