设为首页收藏本站
开启辅助访问 切换到宽版

坏蛋网络

 找回密码
 立即注册

微信登录

只需一步,快速开始

手机动态码快速登录

手机号快速注册登录

搜索
»坏蛋网络 DISCUZ专区 DISCUZ教程 Discuz!您当前的访问请求当中含有非法字符,已经被系统 ...
返回列表 发新帖

[DZ教程] Discuz!您当前的访问请求当中含有非法字符,已经被系统拒绝解决方案

[复制链接]
坏蛋网络官方 发表于 2023-6-7 01:40:56 | 显示全部楼层 |阅读模式
关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。
出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。

# P2 L! J6 N/ g6 k  a! A. Z+ w# z
231121c6zczgo68wflozm2.png
解决方案如下:
\source\class\discuz的discuz_application.php
查找如下代码(在360行左右),并替换
! c7 J2 ?, h6 f* I. G+ n. y

' g' g* U8 C; K6 A. f2 Y7 {& p6 l- c& t' t; G
PHP
2 n0 T3 C( ?) ?7 u
  1. private function _xss_check() {) w9 z! ]; Y. ~/ W: ?
  2. static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');2 p4 V9 R1 f& u8 h4 g; A" h6 b
  3. if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
    5 s3 G/ |: @+ b9 l$ s. c
  4. system_error('request_tainting');
    2 n; [# b  Q* D) f2 Q
  5. }1 q. O  i- H7 C& ]7 ~
  6. if($_SERVER['REQUEST_METHOD'] == 'GET' ) {9 Z+ a; p' Q1 u
  7. $temp = $_SERVER['REQUEST_URI'];
      W! {9 x) `8 s& p) C0 S$ H
  8. } elseif(empty ($_GET['formhash'])) {; }; W% b# A3 ~$ i' c5 E6 w- |' e
  9. $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');& r6 t3 `; v% N" C" n6 \
  10. } else {. B6 K) D6 c# j9 J/ n2 c( R
  11. $temp = '';
    # P5 Z! P+ z6 {6 i( y/ c
  12. }) A- l  ?; o* C, K5 [0 ?
  13. if(!empty($temp)) {2 m8 l( O4 G1 ]
  14. $temp = strtoupper(urldecode(urldecode($temp)));& i6 E3 F  J$ g. a% i
  15. foreach ($check as $str) {
    / @. w) ^: o9 j/ w: I2 N$ `
  16. if(strpos($temp, $str) !== false) {# s6 M. Y: X) P# z) o, Q
  17. system_error('request_tainting');
    " _# A2 q' Z* J
  18. }
    ' ^) f9 f2 j0 {/ @& A
  19. }9 N( L& `2 I! g) O
  20. }$ v# D, ^4 L% Q1 d+ w
  21. return true;
    ; \3 @, e4 p5 |* X
  22. }
复制代码
替换为" s7 h; w, \8 W! `1 z+ p
  1. private function _xss_check() {) P/ h+ |1 B8 O/ H$ q9 Y
  2. $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
    / G3 C7 u3 S! B8 s! D
  3. if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
    0 W# W, g) ^9 k
  4. system_error('request_tainting');- ]! Z8 H9 ~' E) S6 k, m
  5. }
    2 s) v1 k; r" i, a
  6. return true;
    ) }. O; d0 k+ {( m
  7. }
复制代码

, r( E, p! o2 ^0 C* x/ U# `3 g! F* L  `/ R$ q9 P
0 J$ ]' I- G9 N% ]9 ?  s; @

& r, `8 b" j  v/ p8 s) k
0 f( k+ v6 `' [# {$ X' Q
当前, 访问, 请求, 当中, 含有非法字符
微信图片_20230607014029.png

相关帖子

想说又不敢说,说了又怕被拒绝,拒绝了又怕尴尬,就是这样的。内心很痛苦的那种。
回复

使用道具 举报

返回列表 发新帖
快速回复 返回顶部 返回列表