1.过滤不足造成贮存型xss
详细说明：
 
 
漏洞证明：这地方可以插任意标签和字符
修复方案：过滤掉标记<>，过滤掉单双引号

2.
博客是很旧的程序了，自定义模块里可以插入任意的htm代码，但是过滤不足就xss了
详细说明：在模块里过滤了一些常用的比如iframe这些 在末尾是会加“.”，但是img这样的标签则对事件过滤欠妥，过滤方法和博客一样。
只是对o开头的事件过滤了一次o....
于是oonload这样的事件就可以成功绕过
漏洞证明：
 

 
修复方案：白名单? 自己选择吧


3.博客中flash的allowscriptaccess和allowNetworking设置不当

samedomain也是无法阻挡xss了，所以安全起见还是never，不never你也要清楚自己在干什么
 
 
修复方案：
 
allowscriptaccess=never
 
 
摘自  xsser_w@乌云