设为首页收藏本站
开启辅助访问 切换到宽版

坏蛋网络

 找回密码
 立即注册

微信登录

只需一步,快速开始

手机动态码快速登录

手机号快速注册登录

搜索
»坏蛋网络 DISCUZ专区 DISCUZ教程 Discuz!您当前的访问请求当中含有非法字符,已经被系统 ...
返回列表 发新帖

[DZ教程] Discuz!您当前的访问请求当中含有非法字符,已经被系统拒绝解决方案

[复制链接]
坏蛋网络官方 发表于 2023-6-7 01:40:56 | 显示全部楼层 |阅读模式
关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。
出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。
( o' k- H( U# k3 x/ e/ M5 D  f' x
231121c6zczgo68wflozm2.png
解决方案如下:
\source\class\discuz的discuz_application.php
查找如下代码(在360行左右),并替换

5 \4 v; y# `7 n  v$ s& u, V( E# Q& w# W# P$ r$ J- Q
7 l9 M  v) t' Z& w( [2 T
PHP6 h( {% M) {; R( N$ p
  1. private function _xss_check() {
    ! J! B3 I2 U3 k/ I3 y
  2. static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');8 N! Y7 f9 t/ H+ x+ Y& D7 K& [
  3. if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
    6 A5 D, T' Y2 A  G7 I# J2 L
  4. system_error('request_tainting');6 u; p: R: D/ m& v8 E
  5. }. \( o. `7 T3 ^( ~" E0 {
  6. if($_SERVER['REQUEST_METHOD'] == 'GET' ) {* _% I# V8 c* B3 u1 v
  7. $temp = $_SERVER['REQUEST_URI'];
    ! V; R; a" y/ D# Z1 D
  8. } elseif(empty ($_GET['formhash'])) {1 J7 b: E. @. p, q
  9. $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
    8 E2 s' Z2 N8 Q* o5 Q3 [+ ^
  10. } else {* M& _$ P$ C. n& h) D; F+ x  N
  11. $temp = '';
    % L% u5 {! T1 `" n5 w
  12. }- K6 X& l1 D( X- g9 _
  13. if(!empty($temp)) {  E5 e3 D& `$ ^2 n. W; g& f4 }1 x
  14. $temp = strtoupper(urldecode(urldecode($temp)));
    2 A0 ?/ p6 o) l4 M% E8 @
  15. foreach ($check as $str) {% c' Y) V! ~, P0 K
  16. if(strpos($temp, $str) !== false) {
    ' Y) j, r: e, T$ \: n' z( A
  17. system_error('request_tainting');
    3 u6 y- i' C6 U# q
  18. }
    , {; H* ?8 e. |; a
  19. }! X# b6 J' t/ O9 ]4 E4 O
  20. }
    , U& V. U7 D1 i4 ]4 [! c
  21. return true;7 x- S: c# c" k' x7 k* [# e
  22. }
复制代码
替换为
7 ^3 W, y7 p3 P6 J) j, U* ?( L
  1. private function _xss_check() {
    ' w9 Y( o; V  P  y! B4 e& _! o
  2. $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));3 C& E1 l' [5 L2 i* v1 z# F
  3. if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
    ( H+ @: ^9 }) y' ^5 p
  4. system_error('request_tainting');
    6 D  r/ z% v5 \# B
  5. }* e% ~; V6 j- Q  D
  6. return true;) A% K: C, K( S8 J2 j, ^  q
  7. }
复制代码
' h. W5 _6 [( ?9 e

- g) p7 W/ |1 C4 {3 t1 m" J2 U* ~  s2 X
& n* O" c5 b6 {! t$ ?
. K; A9 Y% |; C' W# l1 r
; c2 v% C& _4 }
当前, 访问, 请求, 当中, 含有非法字符
微信图片_20230607014029.png

相关帖子

想说又不敢说,说了又怕被拒绝,拒绝了又怕尴尬,就是这样的。内心很痛苦的那种。
回复

使用道具 举报

返回列表 发新帖
快速回复 返回顶部 返回列表