discuz处理“您当前的访问请求当中含有非法字符，已经被系统拒绝”的解决办法

树苗收集系 · 发表于 2019-11-26 21:56:15

discuz!系统的_xss_check()函数原本的意义是为了论坛安全，防止XSS攻击，一般网站使用是不会出现什么问题的，但是有些网站要接入第三方接口，当第三方接口向本站post数据的时候就会报"您当前的访问请求当中含有非法字符，已经被系统拒绝"，本文介绍一种简单的修改方法避免此错误。

解决方案如下：

[color=#ff0000]\source\class\discuz的discuz_application.php
[/color]查找
[code]private function _xss_check() {
static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
         system_error('request_tainting');
}
if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
         $temp = $_SERVER['REQUEST_URI'];
} elseif(empty ($_GET['formhash'])) {
         $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
} else {
         $temp = '';
}
if(!empty($temp)) {
      $temp = strtoupper(urldecode(urldecode($temp)));
      foreach ($check as $str) {
            if(strpos($temp, $str) !== false) {
                     system_error('request_tainting');
            }
      }
}
return true;
}[/code]替换为：
[code]private function _xss_check() {
$temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
         system_error('request_tainting');
}
return true;
}[/code]

淡看红尘轻笑孤 · 发表于 2021-3-8 07:30:29

学习了！！！！

薄荷少年微微凉 · 发表于 2022-6-18 17:04:43

碉堡了!

discuz处理“您当前的访问请求当中含有非法字符，已经被系统拒绝”的解决办法

精彩评论2

推广达人

宣传达人

论坛元老

精华之星

音乐之星

安全之星

附件之星

最佳新人

活跃会员

热心会员

灌水之王

突出贡献

荣誉管理

关于我们

常见问题

热门素材

快捷入口

全国统一客服电话

官方在线客服

安徽省合肥市高新区创新产业园

手机扫码查看手机版

扫一扫关注官方微信