设为首页收藏本站
开启辅助访问 切换到宽版

坏蛋网络

 找回密码
 立即注册

微信登录

只需一步,快速开始

手机动态码快速登录

手机号快速注册登录

搜索
»坏蛋网络 DISCUZ专区 DISCUZ教程 Discuz!您当前的访问请求当中含有非法字符,已经被系统 ...
返回列表 发新帖

[DZ教程] Discuz!您当前的访问请求当中含有非法字符,已经被系统拒绝解决方案

[复制链接]
坏蛋网络官方 发表于 2023-6-7 01:40:56 | 显示全部楼层 |阅读模式
关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。
出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。

' O, u$ d+ b9 F3 Z  L
231121c6zczgo68wflozm2.png
解决方案如下:
\source\class\discuz的discuz_application.php
查找如下代码(在360行左右),并替换

$ \, d0 w1 h; K3 w/ p+ T  q2 m4 e+ X. q. O5 I& W- s

' g( `& q" e; g. PPHP
  Q- V' D3 {4 g8 m' o8 _; r
  1. private function _xss_check() {3 M# y2 e% X2 l; C5 {/ m0 L9 E$ J
  2. static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');; n) l+ H* i9 U6 T  s5 X( l  G" a
  3. if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {& P6 k/ i; [  X! ?1 j& ~
  4. system_error('request_tainting');
    / [2 b/ s. m7 y# q9 J
  5. }
    ' z& f7 O; X; m
  6. if($_SERVER['REQUEST_METHOD'] == 'GET' ) {0 F$ b3 H) {- G9 [' Y* g
  7. $temp = $_SERVER['REQUEST_URI'];
    6 p5 I& w( C1 j: S9 I7 A
  8. } elseif(empty ($_GET['formhash'])) {" o. p& Y) G- {' Y0 F
  9. $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');/ Y! Q: z4 @! y7 X! t6 t" b" r+ u
  10. } else {' a- R& N# H' a' s* {. B! n
  11. $temp = '';/ s8 G  A2 y' k9 C
  12. }9 D$ A- q% Y  ]9 a7 T
  13. if(!empty($temp)) {0 Q4 j7 l) `2 N/ o: H
  14. $temp = strtoupper(urldecode(urldecode($temp)));* S6 K/ @1 v% c& C# @- l0 L
  15. foreach ($check as $str) {
    9 z0 o( I8 m6 {! j" X
  16. if(strpos($temp, $str) !== false) {
    9 P# A* z  z2 t8 r) j0 s4 O
  17. system_error('request_tainting');3 o9 Z% A. ]4 O2 o9 v
  18. }% u# x$ ?* A- P% S0 E+ U
  19. }4 Z7 ?& n$ R/ x3 r6 ~: v+ v
  20. }* r4 N0 X0 Y- v9 E
  21. return true;
    8 M' l1 R0 }0 L+ p9 L2 V
  22. }
复制代码
替换为
7 [9 w$ L5 ^0 z* Z* v# V' V
  1. private function _xss_check() {
    . _: H: o: @8 t9 ]# v+ \$ ]' W0 i
  2. $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));. i# A9 ]5 w& Q) W( H
  3. if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
    + @7 s4 Y1 k& G' I
  4. system_error('request_tainting');: v7 J. H6 S1 h$ y" {! G4 A2 n
  5. }4 Z, z) y& W0 h. k
  6. return true;
    - Z0 P2 ^# d5 u2 Y0 E' S
  7. }
复制代码

5 W! I& M5 }, W! @
( x/ p6 U1 @2 z/ q0 \+ ^# L8 F9 v0 y' d  \1 @- {

5 U. [8 |9 h/ Q& R* }" D  p
/ _/ g/ f' }1 G
当前, 访问, 请求, 当中, 含有非法字符
微信图片_20230607014029.png

相关帖子

想说又不敢说,说了又怕被拒绝,拒绝了又怕尴尬,就是这样的。内心很痛苦的那种。
回复

使用道具 举报

返回列表 发新帖
快速回复 返回顶部 返回列表