设为首页收藏本站
开启辅助访问 切换到宽版

坏蛋网络

 找回密码
 立即注册

微信登录

只需一步,快速开始

手机动态码快速登录

手机号快速注册登录

搜索
»坏蛋网络 DISCUZ专区 DISCUZ教程 Discuz!您当前的访问请求当中含有非法字符,已经被系统 ...
返回列表 发新帖

[DZ教程] Discuz!您当前的访问请求当中含有非法字符,已经被系统拒绝解决方案

[复制链接]
坏蛋网络官方 发表于 2023-6-7 01:40:56 | 显示全部楼层 |阅读模式
关于Discuz!中“您当前的访问请求当中含有非法字符,已经被系统拒绝”的问题,在添加或更新文章的时候经常出现,经测试发现出现这种情况更多的在使用工具(如火车头采集器)批量发布文章时出现,仔细分析发现,当发布的正文内容出现特殊符号(&,/,<,>等)时出现这样的错误提示。
出现这样的错误主要是因为Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。
% S/ A; `% s  ^+ d" w! \# M, N
231121c6zczgo68wflozm2.png
解决方案如下:
\source\class\discuz的discuz_application.php
查找如下代码(在360行左右),并替换
1 z9 ~1 u) j% M( J+ G$ c# E

1 G8 i" w3 S( J# \) V$ l
" r  D0 o- D8 ~. t& pPHP+ b; j0 B! d* E
  1. private function _xss_check() {6 b) K1 o3 R5 d1 D+ x3 X, j  y9 k
  2. static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');% B! h% a8 w% A" c/ k) b6 f
  3. if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
    4 d: O+ G7 h" J5 P3 ?
  4. system_error('request_tainting');
    ; _) a  u/ g: e% h# N2 i
  5. }
    0 T2 s) S! l, A5 F8 Q& w2 m
  6. if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
    3 B7 g6 `9 \2 R8 o& X% L7 q! V0 k
  7. $temp = $_SERVER['REQUEST_URI'];4 j1 h1 g$ o- V" f( U
  8. } elseif(empty ($_GET['formhash'])) {
    ) G) U& C  P/ n9 r" ]
  9. $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');  e& Q3 B. F' S% x
  10. } else {" r; A/ G) z/ p- p# A9 r
  11. $temp = '';% ^  j, |- ^* `& C9 |7 Q3 K9 q
  12. }2 r* Y3 i- K, M: }8 p' F2 t
  13. if(!empty($temp)) {
    6 L+ e  s1 @! K0 ]. Z1 M" h
  14. $temp = strtoupper(urldecode(urldecode($temp)));
    " @+ R6 F7 i5 L$ _9 J: K; _
  15. foreach ($check as $str) {
    - T) N3 b, `7 P' h7 c3 q: A5 V
  16. if(strpos($temp, $str) !== false) {
    4 b* Y3 w- Z% S& D0 I
  17. system_error('request_tainting');  I  b7 R# K. F. T8 a$ D8 q
  18. }! C, G2 o9 A6 @. c  w( C5 d" y6 N
  19. }
    , O. ~+ _; k& J9 |1 J# m
  20. }
    3 F# T  ^7 C1 j" e! W# Q$ S
  21. return true;
    1 a7 j9 T1 g  Z5 z3 s
  22. }
复制代码
替换为- ?# U: X0 A8 i0 G* u0 T
  1. private function _xss_check() {
    ; X# p3 B9 i+ a8 J) K! t
  2. $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));, l3 q' W0 i4 M7 C0 A& c' j! B
  3. if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {! w, n3 n4 e4 q9 o
  4. system_error('request_tainting');% [  z9 Y( g5 ~* K
  5. }
    . f9 @4 M. u  u$ T$ j% p% ?
  6. return true;. z( G0 M) p6 G: F' t3 P- A; i4 a$ d
  7. }
复制代码
/ S. r1 \( H9 v8 l/ T+ V
: z& O% M# ?% A6 S2 T$ d. u3 z

/ H$ g' t+ I6 F6 A. m' j
1 E% o4 d( e1 b7 ^$ V4 P+ R
7 S% h4 S3 E" W# i2 d+ C
当前, 访问, 请求, 当中, 含有非法字符
微信图片_20230607014029.png

相关帖子

想说又不敢说,说了又怕被拒绝,拒绝了又怕尴尬,就是这样的。内心很痛苦的那种。
回复

使用道具 举报

返回列表 发新帖
快速回复 返回顶部 返回列表