简介Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报”您当前的访问请求当中含有非法字符,已经被系统拒绝”,本文介绍一种简单的修改方法避免此错误。解决方案如下:sourceclassdiscuz的discuz_application.php查找private
Discuz!系统的_xss_check()函数原本的意义是为了论坛安全,防止XSS攻击,一般网站使用是不会出现什么问题的,但是有些网站要接入第三方接口,当第三方接口向本站post数据的时候就会报"您当前的访问请求当中含有非法字符,已经被系统拒绝",本文介绍一种简单的修改方法避免此错误。
解决方案如下:
sourceclassdiscuz的discuz_application.php
查找
privatefunction_xss_check(){static$check=array('"','>','<',''','(',')','CONTENT-TRANSFER-ENCODING');if(isset($_GET['formhash'])&&$_GET['formhash']!==formhash()){system_error('request_tainting');}if($_SERVER['REQUEST_METHOD']=='GET'){$temp=$_SERVER['REQUEST_URI'];}elseif(empty($_GET['formhash'])){$temp=$_SERVER['REQUEST_URI'].file_get_contents('php://input');}else{$temp='';}if(!empty($temp)){$temp=strtoupper(urldecode(urldecode($temp)));foreach($checkas$str){if(strpos($temp,$str)!==false){system_error('request_tainting');}}}returntrue;}
替换为:
privatefunction_xss_check(){$temp=strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));if(strpos($temp,'<')!==false||strpos($temp,'"')!==false||strpos($temp,'CONTENT-TRANSFER-ENCODING')!==false){system_error('request_tainting');}returntrue;}
下载链接:网站源码/小程序源码/网站模板下载
