审核隐患:用CSS隐藏恶意信息(征求处理方法)

@Ta 03-29 13:57发布,03-30 07:45修改 14895点击

@- 向我展示了一种通过CSS隐藏恶意信息的方法,藏的很好,确实通过了我的审核。

庄子:测试:色情SEX 和谐.COM
臣之剑,十步一人,千里不留行。
李白:不知道会不会看到...
十步杀一人,千里不留行。

用鼠标拖动选择上面的段落就可以看到隐藏的恶意(和谐)信息。

UBB:

[span=color:black;background:#F9F9F9;display:inline-block;]庄子:[color=#F9F9F9]测试:~~色情SEX~~ 和谐.COM[/color]
臣之剑,十步一人,千里不留行。
李白:[color=#F9F9F9]不知道会不会看到...[/color]
十步杀一人,千里不留行。[/span]

现征求缓解该问题的方法。


缓解该问题的功能已经开发好了:

虎绿林新功能:隐藏用户CSS样式、显示UBB源码

点击“隐藏样式”就能看到隐藏的信息。

回复列表(33)
  • @Ta / 03-29 14:05 / /

    我想到一个方法,当审核员点击“审核通过”时,自动选中整个文段。这样隐藏内容就会暴露。

  • @Ta / 03-29 14:06 / /
    被站长屏蔽
    发言被站长屏蔽,仅管理员和作者本人可见。
    [03-29 14:08] @老虎会游泳 审核未通过:
    演示,不要审核通过
    [03-29 16:01] @Dieinwarm 审核通过:
  • @Ta / 03-29 14:08 / /
    添加一个查看 ”源代码" 或 "剔除样式" 按钮
  • @Ta / 03-29 14:08 / /

    @残缘,可以,但问题是,我肯定不会点。如果不让我在审核过程中自动看到,功能相当于不存在。

  • @Ta / 03-29 14:08 / /
    高深了 看不懂
  • @Ta / 03-29 14:09 / /
    @老虎会游泳,那就默认显示出代码呗
  • @Ta / 03-29 14:10 / /

    @残缘,让我一定能看到的方法,可能就是点审核通过时自动执行操作。
    Screenshot_20220329_140918.jpg

  • @Ta / 03-29 14:11 / /
    “我想到一个方法,当审核员点击“审核通过”时,自动选中整个文段。这样隐藏内容就会暴露。”
    我记得评论可以添加css或者js,如果用选中处理的话,他甚至可以设置选中的字体颜色与未选中的字体的颜色的CSS样式,这样来规避你,我记得是可以这样的。

  • @Ta / 03-29 14:12 / /

    @大尨,那个文本框里有和背景色一样的文字,内容是“~不恰当~”(和谐)网站。

  • @Ta / 03-29 14:13 / /

    @残缘,看起来只能改成点击审核通过的时候删除所有CSS样式了。

  • @Ta / 03-29 14:20 / /
  • @Ta / 03-29 14:24 / /

    @-,我准备采用去掉颜色(删除style属性)的方案。争抢优先级做不到,因为UBB代码里的总是最高优先级。如果在其他地方用!important,UBB代码里也可以用!important来争夺优先级。

  • @Ta / 03-29 14:26 / /
    @老虎会游泳,审核的主体还是内容,不妨直接过滤掉css
  • @Ta / 03-29 14:39 / /

    @TabKey9,CSS background: url()可以用来显示任意图片。

  • @Ta / 03-29 14:48 / /
    [div=content:"测试css的content属性"; height: 20px; width: 100%][/div]
    

    看起来content属性不能用来显示有害内容。但是background属性显然可以用来显示有害内容。

  • @Ta / 03-29 14:53 / /

    我觉得我要三管齐下:

    1. 默认展示最终用户看到的样子,解析所有CSS代码。因为很多内容从UBB里看不出来是什么,只有解析了才能知道是什么效果。
    2. 添加查看UBB按钮,如果审核员觉得可疑就自己点查看。
    3. 审核员选审核通过的时候去掉所有样式,这样就能暴露内容中的所有纯文本信息。
  • JJ
    @Ta / 03-29 17:35 / /
    审核页面弄成渐变色
  • 06
    @Ta / 03-29 18:18 / /
添加新回复
回复需要登录