设为首页收藏本站
开启辅助访问 切换到宽版

坏蛋网络

 找回密码
 立即注册

微信登录

只需一步,快速开始

手机动态码快速登录

手机号快速注册登录

搜索
»坏蛋网络 DISCUZ专区 DISCUZ教程 Discuz!您当前的访问请求当中含有非法字符,已经被系统 ...
返回列表 发新帖

[DZ教程] Discuz!您当前的访问请求当中含有非法字符,已经被系统拒绝解决方案

[复制链接]
坏蛋网络官方 发表于 2023-6-7 01:40:56 | 显示全部楼层 |阅读模式
关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。
出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。
8 I( r" v& [) u' b$ e
231121c6zczgo68wflozm2.png
解决方案如下:
\source\class\discuz的discuz_application.php
查找如下代码(在360行左右),并替换

# E+ A! j& i8 p; B$ f6 v7 d  R! g5 @: ~: Q1 a1 z

  ?. L5 ~+ \7 wPHP0 {9 X( O# J3 J1 @$ L: j
  1. private function _xss_check() {
    & \- q6 i5 ^7 T5 G& V8 v( j
  2. static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
      @& e9 S: Q1 w% i5 F/ t! B
  3. if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
    ' h: a) d8 Q' e# K' {
  4. system_error('request_tainting');4 W. _: v$ d" \8 d$ w9 P
  5. }, _8 i( W5 ]) }: y( ~! V* {
  6. if($_SERVER['REQUEST_METHOD'] == 'GET' ) {7 E- f' a6 ^4 e% ?: E
  7. $temp = $_SERVER['REQUEST_URI'];
    8 h9 L8 h0 o1 M- {
  8. } elseif(empty ($_GET['formhash'])) {' c! f. p% ]) m9 N' v& G
  9. $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');" e5 W( ^4 ^2 ?
  10. } else {
    0 s" w. |" A' ?' X4 \/ ^# O5 i
  11. $temp = '';$ E" B, w% @; m+ L3 B
  12. }: t4 {' x) w. Z& S+ C8 @4 l2 `% K  K
  13. if(!empty($temp)) {' F/ A' h' I! w6 \
  14. $temp = strtoupper(urldecode(urldecode($temp)));
    0 \' Q. B$ P" o% h2 S7 \7 a
  15. foreach ($check as $str) {
    % X1 u8 M' P: D4 J
  16. if(strpos($temp, $str) !== false) {1 A2 F( e% f/ o8 ^; ]0 S
  17. system_error('request_tainting');
    & `1 ]; w5 Q6 D5 u0 P2 E
  18. }" Z/ i2 N- F1 A4 g0 `5 M, ^- p
  19. }! B% c4 @: l/ ?1 c# |
  20. }
    ! I, }' P' U9 [+ R/ D
  21. return true;' }! C; D# V2 l+ A
  22. }
复制代码
替换为
. o" N7 O* |* Q( g9 g( y$ C
  1. private function _xss_check() {
    3 M0 T* j/ p# J2 c  ^4 W. k
  2. $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));7 ~; I/ C5 n1 K3 L4 `
  3. if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {/ b0 \. i/ |7 @5 x: e7 O1 `0 D
  4. system_error('request_tainting');: A+ k7 q, C8 r/ @! _5 F8 {9 B
  5. }
    . o5 x% U/ u. m
  6. return true;* z* ?$ |: ?, ^$ O" ]
  7. }
复制代码
0 e: [& l* _& x/ W4 U! {* A
; I, S/ w5 q; [  W) k4 @' {7 F

7 Y1 b* H6 m5 ^5 r
6 w6 Q7 U% i1 }
4 C7 [) d; A, M5 x' z0 B
当前, 访问, 请求, 当中, 含有非法字符
微信图片_20230607014029.png

相关帖子

想说又不敢说,说了又怕被拒绝,拒绝了又怕尴尬,就是这样的。内心很痛苦的那种。
回复

使用道具 举报

返回列表 发新帖
快速回复 返回顶部 返回列表