关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。 出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。 a- j1 E1 _, F* c8 |9 a; `
解决方案如下: \source\class\discuz的discuz_application.php 查找如下代码(在360行左右),并替换 - Q# m) S, l9 c7 a, O7 A6 S
5 z3 J$ n- p$ A/ e' c4 h. e o. _$ }- Y U) x6 T a
PHP
& H+ h9 c7 `( u3 v- private function _xss_check() {% u! R1 T% \1 ^$ ]
- static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');7 \5 F8 y- s8 y# \0 B1 B+ P
- if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
' r6 @/ h7 a# } ] - system_error('request_tainting');
4 @+ H7 B! Z7 b - }8 n* N. W, [4 S s9 O
- if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
4 C7 }( \: I" T( G7 A - $temp = $_SERVER['REQUEST_URI'];
; L3 {9 n7 T" K) I - } elseif(empty ($_GET['formhash'])) {
) A. _0 m/ C2 Q$ Z) @ - $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
# i1 ^* o, a& A5 I; d& \; g - } else {
: _7 R$ G5 S2 Y" a/ L - $temp = '';
$ {! z* u8 x; m! D - }
3 S7 \1 S5 E9 s- t2 l5 H - if(!empty($temp)) {
( u! Y( F. ?9 ?6 M- I! I8 v - $temp = strtoupper(urldecode(urldecode($temp)));+ a. N& ?) g3 r3 ?+ ]5 h0 |' `
- foreach ($check as $str) {
1 f4 [( s/ d; z - if(strpos($temp, $str) !== false) {
& L2 {/ D( c p- R - system_error('request_tainting');
4 q! @) z* N; s! D! u$ y+ g' P - }
. W9 x7 I. v7 ?# c; F3 R - }2 H) l7 _+ j0 M! s: L
- }
2 f" }) Z9 p/ A1 W- {: ] - return true;
, k$ |7 |& z6 J9 Y7 e. q o. |3 a - }
9 C0 c% Z1 c$ }& ~0 o9 S- private function _xss_check() {
6 H8 P5 O9 c2 C - $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
& d" ^6 y& l& Z0 d- F' N0 I1 Q7 u+ y- T - if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
! Z9 n9 p& d$ _ - system_error('request_tainting');
( o* M8 r+ c7 w - }
2 G' c" p2 }. S% A* E7 E - return true;2 T9 Z% H+ D: B; X0 M" e! [; e5 P
- }
' c+ l [- @' w- ?: r* h; F$ A1 r. T; ]: r
! W* M, V; t) S
! ? W$ b& o [+ u7 `2 c# W" N( {7 d, D9 X4 c! X7 n7 D/ v) j/ p
| 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
