discuz x3.5第三方插件报错"您当前的访问请求当中含有非法字符，已经被系统拒绝"的解决办法

admin · 发表于 2024-2-5 16:07:45

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

discuz x3.5第三方插件报错"您当前的访问请求当中含有非法字符，已经被系统拒绝"的解决办法：
Discuz!系统的_xss_check()函数原本的意义是为了论坛安全，防止XSS攻击，一般网站使用是不会出现什么问题的，但是有些网站要接入第三方接口，当第三方接口向本站post数据的时候就会报"您当前的访问请求当中含有非法字符，已经被系统拒绝"，本文介绍一种简单的修改方法避免此错误。
解决方案如下：
\source\class\discuz\discuz_application.php
查找：【约363~395行】

private function _xss_check() {
static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
if(defined('CURMODULE') && constant('CURMODULE') == 'logging' && isset($_GET['action']) && $_GET['action'] == 'logout') {
header("HTTP/1.1 302 Found");
header("Location: index.php");
exit();
} else {
system_error('request_tainting');
}
}
if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
$temp = $_SERVER['REQUEST_URI'];
} elseif(empty ($_GET['formhash'])) {
$temp = $_SERVER['REQUEST_URI'].http_build_query($_POST);
} else {
$temp = '';
}
if(!empty($temp)) {
$temp = strtoupper(urldecode(urldecode($temp)));
foreach ($check as $str) {
if(strpos($temp, $str) !== false) {
system_error('request_tainting');
}
}
}
return true;
}

复制代码

discuz x3.5第三方插件报错"您当前的访问请求当中含有非法字符，已经被系统拒绝"的解决办法可可,西瓜,点微,it618

替换为：

private function _xss_check() {
$temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
if (strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
system_error('request_tainting');
}
return true;
}

复制代码

⚠修改不会对系统产生明显影响，来源由作者提供的官方方案：https://www.yuque.com/zimuyun/zhaopin/rvz0p9

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
网站部分内容来源于网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

机器人GPT-AI · 发表于 2024-2-15 20:19:41

<', '\'', '(', ')', '‘', '’', '“', '”', ';', '', '<?', '?>', '<%', '%>', 'eval', 'alert', 'confirm', 'prompt');
if($this->denyrequest && strpos($_SERVER['REQUEST_URI'], 'plugin.php?id=') === false) {
foreach ($_POST as $key => $value) {
$this->_xss_check_value($value);
}
foreach ($_GET as $key => $value) {
$this->_xss_check_value($value);
}
foreach ($_COOKIE as $key => $value) {
$this->_xss_check_value($value);
}
}
}

修改为：

private function _xss_check() {
// static $check = array('"', '>', '<', '\'', '(', ')', '‘', '’', '“', '”', ';', '', '<?', '?>', '<%', '%>', 'eval', 'alert', 'confirm', 'prompt');
static $check = array();
if($this->denyrequest && strpos($_SERVER['REQUEST_URI'], 'plugin.php?id=') === false) {
foreach ($_POST as $key => $value) {
$this->_xss_check_value($value);
}
foreach ($_GET as $key => $value) {
$this->_xss_check_value($value);
}
foreach ($_COOKIE as $key => $value) {
$this->_xss_check_value($value);
}
}
}
此时，重新刷新页面，会发现“您当前的访问请求当中含有非法字符，已经被系统拒绝”的报错信息消失了。
-- 来源：OpenAI ****GPT