-
Discuz! 请求含非法字符被拒的解决方法
- 时间:2025-03-29 16:43:49 来源: 人气:0
在Discuz!系统中,_xss_check()函数的主要目的是为了保障论坛的安全性,防止XSS(跨站脚本)攻击。对于一般的网站来说,这个功能不会引发任何问题。然而,有些网站需要接入第三方接口时,当这些接口向网站POST数据时,可能会遇到“您当前的访问请求当中含有非法字符,已经被系统拒绝”的错误提示。本文将介绍一种简单的修改方法来避免这一错误。
解决方案如下:
首先,找到文件路径:\source\class\discuz\discuz_application.php
然后,查找以下代码段:
private function _xss_check() {
static $check = array('\"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
if(isset($_GET@['formhash']) && $_GET@['formhash'] !== formhash()) {
system_error('request_tainting');
}
if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
$temp = $_SERVER['REQUEST_URI'];
} elseif(empty ($_GET@['formhash'])) {
$temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
} else {
$temp = '';
}
if(!empty($temp)) {
$temp = strtoupper(urldecode(urldecode($temp)));
foreach ($check as $str) {
if(strpos($temp, $str) !== false) {
system_error('request_tainting');
}
}
}
return true;
}
接下来,将其替换为以下代码:
private function _xss_check() {
$temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
if(strpos($temp, '<') !== false || strpos($temp, '\"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
system_error('request_tainting');
}
return true;
}
需要注意的是,在进行此类修改之前,请确保备份原始文件,以便在出现问题时能够迅速恢复。此外,修改后的代码仍保留了对关键非法字符的检测,以保证系统的安全性。
希望以上内容能帮助您解决Discuz!系统中与第三方接口交互时出现的问题。如果您还有其他疑问或需要进一步的帮助,请随时联系技术支持团队。
相关文章
-
在Discuz论坛系统中,帖子内容页面的导航功能(上一篇和下一篇)对于提升用户体验至关重要。这些功能可以让用户更方便地浏览相关内容,而无需返回列表页重新选择。以下是实现“上一篇”和“下一篇”功能的具体代码及其优化后的SEO文章。Discuz帖子内容页面中的导航功能可以通过简单的HTML代码实现,...2025-03-29 -
在Discuz论坛系统中,为内容页面添加打印按钮是一项实用的功能,它可以让用户轻松打印出主题内容。以下是一篇关于如何实现这一功能的SEO优化文章。 在构建基于Discuz的主题页面时,增加一个打印按钮可以极大地提升用户体验。这不仅方便了那些希望保存内容以备后用的用户,还可能间接提高网站的访问量和停...2025-03-29 -
Discuz字符串截取函数 `messagecutstr()` 详解
在进行Discuz二次开发时,我们常常需要对内容进行简介处理。此时,可以利用Discuz自带的内容处理函数 `messagecutstr` 来实现这一需求。本文将详细介绍该函数的用法及参数说明,并通过实例演示其具体操作。 ### 函数定义与参数解释 `messagecutstr` 是一个用于...2025-03-29 -
在网站开发和功能扩展的过程中,实现回帖邮件通知功能可以有效提升用户体验。以下是实现该功能的详细步骤,包括代码修改的具体位置和方法。打开目录:sourceincludepost找到文件:post_newreply.php在该文件中,找到以下代码段: 复制代码 if...2025-03-29