关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。 出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。
( q" ^- F: \% H. ^" c解决方案如下: \source\class\discuz的discuz_application.php 查找如下代码(在360行左右),并替换
9 T+ h* @+ ^ w5 f7 r; ?+ I7 T. R7 x9 o1 @0 Y' [: s& B% Y; `" q' v
9 d, f/ H+ A7 f" g& i
PHP* }" w$ S9 g' @1 t6 y
- private function _xss_check() {" m7 V6 Z' b# A
- static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');$ F2 ^ x) x2 `# L! H" G7 p( M1 @
- if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {: E* H5 y& B! C8 }/ G* ^+ K
- system_error('request_tainting');# K- A/ f2 l: F! o6 Y
- }
: I1 f( U2 z# O! l6 _ - if($_SERVER['REQUEST_METHOD'] == 'GET' ) {1 ~ R) c' l" c7 e5 d
- $temp = $_SERVER['REQUEST_URI'];+ j6 D/ S7 n5 @2 z9 p
- } elseif(empty ($_GET['formhash'])) {( P2 M+ C0 I! [4 Q8 G" N' k: z
- $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
$ B5 A M: w( y0 |: l; b/ x - } else {2 l2 _. ]# b: H
- $temp = '';; e7 A! e2 F; W) \ K$ \
- }, L0 |9 v& _' s+ K% R @8 o4 k5 X
- if(!empty($temp)) {6 P0 i7 |* l3 m
- $temp = strtoupper(urldecode(urldecode($temp)));
: ^. k5 Y; l' l- D7 n - foreach ($check as $str) {+ ]' g) h) e2 z L; e
- if(strpos($temp, $str) !== false) {
' P8 W3 p3 U' i2 M7 z$ g! y - system_error('request_tainting');; _$ }% Y' d8 j0 {% @/ n
- }
: W9 G# D8 ?* s7 O6 g - }. g" \2 f9 @1 x6 I
- }- h% q8 m2 w6 J" t& y
- return true;
1 B8 K1 P& w x% B# X, F5 M/ `% A - }
* S& S: m1 I6 s$ R+ d( o- private function _xss_check() { t7 Y; W% e, [5 t
- $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
9 ^; W# ]/ f3 t1 h; l - if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
* ^% l. ^+ e8 ^6 J - system_error('request_tainting');$ H7 v3 l4 }8 l+ C
- }
5 x6 [1 C8 W, B5 Y! d( {7 _/ F - return true;
) U8 l" T9 m# _/ N - }
% r' U) `" k* P0 Z# p2 i7 g7 ^
4 i- w& U1 M& c$ F3 J* z- b) b
8 |; z, h6 _+ T5 s' q' i' c9 B7 v b2 y. W% o/ s y! H
| 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
