关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。 出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。
1 P' D' \' x9 O! Y$ f) V0 K Y6 T. s3 H解决方案如下: \source\class\discuz的discuz_application.php 查找如下代码(在360行左右),并替换 2 l* U1 \) }/ ^% i
0 x% n! ^& J. A/ K8 ^/ ?) W
# ~+ l" G! M- O. Z0 s0 r7 T" o. b B7 B
PHP) k" L# T2 d8 h; s# w
- private function _xss_check() { `9 {+ S9 j5 A1 [( s. n
- static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');$ O$ v0 q# k" z9 v u1 E
- if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {8 I+ Z( ]& }% ^/ ?9 M- b0 B
- system_error('request_tainting');
5 }1 h9 m1 n2 O - }. u s0 ^' g3 J
- if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
5 } L& I! ^; V# w: F - $temp = $_SERVER['REQUEST_URI'];# W% b" v3 W, R$ z7 Y( _
- } elseif(empty ($_GET['formhash'])) {
6 |) b2 @* c8 T0 ? - $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
@6 o' c [3 L! ]1 v - } else {7 H+ b: ?/ N0 i1 v4 y
- $temp = '';# C& K. o; ?( n I% {
- }( ]1 I& V/ N( E* |/ p7 `- f& `: n
- if(!empty($temp)) {
9 z( P, `: Z! m5 v) D7 u0 O: n - $temp = strtoupper(urldecode(urldecode($temp)));
$ Z: r$ r! A) A& ~( z - foreach ($check as $str) {9 E3 Z ]6 s9 |+ t" A% D m
- if(strpos($temp, $str) !== false) {
k# A/ ?- A$ I' V - system_error('request_tainting');
" F' k) G0 E/ r4 j( L; I) n - }% j' m# Y2 q+ h. _
- }. t3 m% k3 Y( Z6 c, H: {7 k% ?
- }' p7 B7 Y) }* c1 }( p3 g5 K
- return true;
9 k) Y$ ~$ l& }6 K - }
复制代码 替换为
5 E) {0 _0 X: R, E% `+ a' ~9 O- private function _xss_check() {; Q" y+ ~+ C d/ L% r# x
- $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));9 Z6 @( E; T: ~, H
- if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {! L9 g- q) X" [" D0 g0 c7 w
- system_error('request_tainting');, i# U. u: v v" _
- }
4 b" _# H! M( ~ - return true;
X3 e3 l2 w# {- ^; g3 I - }
复制代码 ) W8 @; n, L% C6 h8 W( Z
; w# b& Z2 ]: y+ J$ k5 x3 I* M( n
: ^# Z+ U, E n* ?4 [: t% ?& R/ h0 a6 k' X% d& L
7 D" x% z6 j+ G
|