การแก้ปัญหา "การร้องขอการเข้าถึงของคุณประกอบด้วยอักขระที่ไม่ถูกต้อง" (XSS Check)

cyber2friends

เนื่องจาก Discuz! X3.1 Official Release 20131122 (REV.28) ได้มีการปรับปรุงในหลายๆส่วน
และได้ปรับปรุงในส่วนของการป้องกัน Cross-site Scripting (XSS)
โดยจะส่งผลให้ไม่สามารถส่งข้อมูลที่มีเครื่องหมายต่อไปนี้ได้ " , > , < , ' , ( , )

ส่งผลให้ปลั๊กอินบางตัว ไม่สามารถทำงานได้ตามปกติ (ยกตัวอย่างเช่นปลั๊กอิน 2th Chat)
เนื่องจากมีการส่งข้อมูลบางส่วน จะทำให้ระบบป้องกัน XSS ทำงาน จึงทำให้ระบบแสดงข้อผิดพลาด

การร้องขอการเข้าถึงของคุณประกอบด้วยอักขระที่ไม่ถูกต้อง

คำเตือน! หากท่านไม่ได้ใช้ Discuz! X3.1 Rev.28 หรือใหม่กว่านั้น ไม่จำเป็นต้องทำตามวิธีต่อไปนี้!

โดยมีวิธีแก้ไข 2 วิธี โดยสามารถทำได้ด้วยวิธีดังต่อไปนี้

*วิธีที่ 1 แก้ Config เพื่อปิดการทำงานของ XSS Check

• เปิดไฟล์ config_global.php ในโฟลเดอร์ ./discuz_root/config/
• ค้นหาบรรทัดนี้ ในส่วนของ CONFIG SECURITY
  
  1. $_config['security']['urlxssdefend'] = 1;

  คัดลอกไปที่คลิปบอร์ด
  
  
• แก้เลข 1 เป็นเลข 0 เพื่อปิดการใช้งาน
  
  1. $_config['security']['urlxssdefend'] = 0;

  คัดลอกไปที่คลิปบอร์ด
  
  
• บันทึกไฟล์
  

**วิธีที่ 2 แก้โค้ด เพื่อทำให้ระบบ XSS Check ทำงานเหมือนรุ่นก่อนๆ

• เปิดไฟล์ discuz_application.php ในโฟลเดอร์ ./discuz_root/source/class/discuz/
• ค้นหาโค้ดนี้
  
  1.         private function _xss_check() {
     
  2. 
     
  3.                 static $check = array('"', '>', '<', '\'', '(', ')', 'CONTENT-TRANSFER-ENCODING');
     
  4. 
     
  5.                 if(isset($_GET['formhash']) && $_GET['formhash'] !== formhash()) {
     
  6.                         system_error('request_tainting');
     
  7.                 }
     
  8. 
     
  9.                 if($_SERVER['REQUEST_METHOD'] == 'GET' ) {
     
  10.                         $temp = $_SERVER['REQUEST_URI'];
      
  11.                 } elseif(empty ($_GET['formhash'])) {
      
  12.                         $temp = $_SERVER['REQUEST_URI'].file_get_contents('php://input');
      
  13.                 } else {
      
  14.                         $temp = '';
      
  15.                 }
      
  16. 
      
  17.                 if(!empty($temp)) {
      
  18.                         $temp = strtoupper(urldecode(urldecode($temp)));
      
  19.                         foreach ($check as $str) {
      
  20.                                 if(strpos($temp, $str) !== false) {
      
  21.                                         system_error('request_tainting');
      
  22.                                 }
      
  23.                         }
      
  24.                 }
      
  25. 
      
  26.                 return true;
      
  27.         }

  คัดลอกไปที่คลิปบอร์ด
  
  
• แทนที่ด้วยโค้ดนี้
  
  1.         private function _xss_check() {
     
  2.                 $temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI'])));
     
  3.                 if(strpos($temp, '<') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRANSFER-ENCODING') !== false) {
     
  4.                         system_error('request_tainting');
     
  5.                 }
     
  6.                 return true;
     
  7.         }

  คัดลอกไปที่คลิปบอร์ด
  
  
• บันทึกไฟล์
  

เพียงแค่นี้ ก็จะทำให้สามารถใช้เครื่องหมาย " , > , < , ' , ( , ) ได้ตามปกติ

*ทำให้ระบบปิดทำงาน XSS Check ทั้งหมด ทำให้ความปลอดภัยลดลง
**XSS Check จะทำงานอยู่ แต่จะเป็นการทำงานแบบของรุ่นก่อนๆ สามารถใช้งานได้เหมือนเดิมก่อนหน้านี้