Discuz!您当前的访问请求当中含有非法字符，已经被系统拒绝解决办法

创建时间：2017-04-06 投稿人：浏览次数：12383

Discuz!系统的_xss_check()函数原本的意义是为了论坛安全，防止XSS攻击，一般网站使用是不会出现什么问题的，但是有些网站要接入第三方接口，当第三方接口向本站post数据的时候就会报"您当前的访问请求当中含有非法字符，已经被系统拒绝"，本文介绍一种简单的修改方法避免此错误。

解决方案如下：

sourceclassdiscuz的discuz_application.php

查找

private function _xss_check() {
	static $check = array(""", ">", "<", """, "(", ")", "CONTENT-TRANSFER-ENCODING");
	if(isset($_GET["formhash"]) && $_GET["formhash"] !== formhash()) {
			system_error("request_tainting");
	}
	if($_SERVER["REQUEST_METHOD"] == "GET" ) {
			$temp = $_SERVER["REQUEST_URI"];
	} elseif(empty ($_GET["formhash"])) {
			$temp = $_SERVER["REQUEST_URI"].file_get_contents("php://input");
	} else {
			$temp = "";
	}
	if(!empty($temp)) {
		$temp = strtoupper(urldecode(urldecode($temp)));
		foreach ($check as $str) {
				if(strpos($temp, $str) !== false) {
						system_error("request_tainting");
				}
		}
	}
	return true;
}

替换为：

private function _xss_check() {
	$temp = strtoupper(urldecode(urldecode($_SERVER["REQUEST_URI"])));
	if(strpos($temp, "<") !== false || strpos($temp, """) !== false || strpos($temp, "CONTENT-TRANSFER-ENCODING") !== false) {
			system_error("request_tainting");
	}
	return true;
}

声明：该文观点仅代表作者本人，入门客AI创业平台信息发布平台仅提供信息存储空间服务，如有疑问请联系rumenke@qq.com。

上一篇： Discuz!教程之如果修改电脑访问手机版网址跳转客户端下载网址misc.php?mod=mobile
下一篇： Discuz!数据库操作DB类和C::t类介绍

热门文章: Discuz!开发之带DIY功能的单...; Discuz!开发之将论坛首页设...; Discuz!教程之通过简单php文...; Discuz!论坛教程之注册成功...; Discuz!开发之添加后台菜单...; Discuz!教程之论坛开启了版...; Discuz!论坛教程之设置帖子...; Discuz!开发之会员登录流程...; Discuz!教程之打开论坛首页...; Discuz!运行日志记录函数runlo...

最新文章: Discuz!数据库操作DB类和C::t...; Discuz!您当前的访问请求当...; Discuz!教程之如果修改电脑...; Discuz!论坛主题全局置顶、...; PHP程序开发之一维数组排序...; Discuz!运行日志记录函数runlo...; Discuz!教程之打开论坛首页...; Discuz!开发之会员登录流程...; Discuz!论坛教程之设置帖子...; Discuz!教程之论坛开启了版...