关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。 出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。 9 K4 G6 `# p; {7 }5 A0 v
解决方案如下: \source\class\discuz的discuz_application.php 查找如下代码(在360行左右),并替换
4 U0 q% w8 O7 I1 W7 E7 |4 E' B
2 h ^! v9 h( Y H+ H5 d0 o v# U7 u6 D2 [4 t
PHP; D! g( ?) R+ B$ K
- private function _xss_check() {
2 b+ E& R2 v* r S4 @7 s1 N" h8 [9 J - static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');) y; c1 o. k6 r: r0 u7 m4 e& c' B
- if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {% D! ?. K( u6 f$ y
- system_error('request_tainting');
9 M: b# l" b9 H {8 T, O2 t - }& O' t# |& k: V, [# L: f0 Z
- if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
0 x6 R4 c0 a, [; \ - $temp = $_SERVER['REQUEST_URI'];
3 B l9 V# N6 m/ B# y - } elseif(empty ($_GET['formhash'])) {
4 U, R- H; f" a ]- Q - $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');3 I" v# V! H. U/ d4 `
- } else {
$ I- @% ~% U# _+ O/ x0 {9 K0 } - $temp = '';8 l1 R' f' x6 [- ^+ {1 k4 H9 u
- }, T9 ]" O7 Q7 y4 j+ m% ^. d( ?
- if(!empty($temp)) {$ W( m) N0 Z* a/ L
- $temp = strtoupper(urldecode(urldecode($temp)));: h* t. x9 W' e2 s' p
- foreach ($check as $str) {
. k- t# e0 `1 w - if(strpos($temp, $str) !== false) {- `" }; ?4 Y( \1 u; V& R7 p
- system_error('request_tainting');
3 m* N* w( D+ c9 h2 X# i: R: T - }
) Q* C2 s5 j: p4 F1 T' ^' |* | - }
; I6 {6 J1 Q9 m3 s& t" O3 t - }6 N8 W) c. t: ]% j- N2 p
- return true;$ T- F7 l: e$ ^9 t( M( Q
- }
2 S- |1 x3 m( v7 S, G) p- private function _xss_check() {
1 `% e1 v4 u. {' h - $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
8 E7 _9 _6 c W! ] - if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {& ]" }; y/ g5 P; b( U2 Z
- system_error('request_tainting');* W5 D ]% S {9 ^% ` n7 Q* ^
- }8 R. w5 I C: E; s( q
- return true;8 M2 M2 K$ g) B7 @. m
- }
' z0 g% a- e) U; U1 {# K3 @
, T o* c2 W/ q% V" O3 ]$ K; ]1 W2 Q- \
, R. u9 [- [; V2 S9 }4 s+ m& ^$ C, t: E. t/ Z# S6 e2 }* P
| 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
