|
关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。 出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。
+ Q; \# ]/ a" u解决方案如下: \source\class\discuz的discuz_application.php 查找如下代码(在360行左右),并替换
$ u3 O" `% W7 h; `! h
! p+ I+ H8 K+ o6 ?9 a% _% R5 O, u7 z' L
PHP
+ J0 `$ f4 C9 B' U W t- private function _xss_check() {
4 Z6 q( h$ m; @9 M" ^2 M - static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
+ Z; e% Y- K( f7 O* `7 R - if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
$ c% z1 t6 q0 G7 ?1 x5 d; @, n - system_error('request_tainting');
+ u/ q5 K, I/ |$ E6 ~( h, K - }( f0 O1 b0 f0 N9 {/ i
- if($_SERVER['REQUEST_METHOD'] == 'GET' ) {4 h0 Y, {8 Y/ |1 N; _
- $temp = $_SERVER['REQUEST_URI'];. S/ L) T1 [& @; H a
- } elseif(empty ($_GET['formhash'])) {2 v; Q. J; M4 T; D6 |4 X C$ r
- $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
% o8 C r$ `" u6 B# B - } else {
A; N0 X) G5 s) K& P - $temp = '';
; J% L) J: l' y% b* u T - }# p+ ^( |- k. T/ H/ f) k/ ~
- if(!empty($temp)) {
" y/ A/ R @& _7 `. n - $temp = strtoupper(urldecode(urldecode($temp)));
: v6 \: A" B+ R$ w' f; x - foreach ($check as $str) {' j2 b; a5 B4 c8 t+ m
- if(strpos($temp, $str) !== false) {
; F4 c. a3 w5 _5 E8 V" ?8 d. E4 g - system_error('request_tainting');
6 K2 D% x! [/ i4 |! t - }
) u& B; s7 e7 P2 w/ i# M - }3 O+ J: L9 P/ G+ t6 [
- }
+ ~" [, `. d8 ^: F, n - return true;! d* l& n/ F- b/ u9 t* C; A
- }
- private function _xss_check() {
* ]/ z) g, ]. [ - $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));' m, i$ ~5 t: x9 G8 l6 v+ z
- if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
( h' Y- \' P8 x. s* S - system_error('request_tainting');! T! f8 k/ T( i, j
- }
9 ?+ ~' F! v1 W - return true;
+ }- k+ F5 M9 w - }
& L. I: [. L$ E6 F% \
1 f9 t, j" ]% t+ V6 ?- {6 h8 B' a# T' H: y7 v
, X |0 f1 q9 k- T3 r! X
| 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
