Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

Discuz!7.X严格限制引用的Flash地址解决方案

[复制链接]
andy888 发表于 2013-4-3 15:49:36 | 显示全部楼层 |阅读模式
         经过测试Flash引用时存在过滤不严格的BUG,现给出以下修正方案:

        1、找到include\discuzcode.func.php文件
        2、在discuzcode函数中查找
  1. if($allowmediacode && strpos($msglower, '[/flash]') !== FALSE) {
  2.                         $message = preg_replace("/\[flash\]\s*([^\[\<\r\n]+?)\s*\[\/flash\]/is", "<script type="text/javascript" reload="1">document.write(AC_FL_RunContent('width', '550', 'height', '400', 'allowNetworking', 'internal', 'allowScriptAccess', 'never', 'src', '\\1', 'quality', 'high', 'bgcolor', '#ffffff', 'wmode', 'transparent', 'allowfullscreen', 'true'));</script>", $message);
  3.                 }
复制代码
换行成
  1. if($allowmediacode && strpos($msglower, '[/flash]') !== FALSE) {
  2.                         $message = preg_replace("/\[flash\]\s*([^\[\<\r\n]+?)\s*\[\/flash\]/ies", "parseflash('\\1')", $message);
  3.                 }
复制代码
3、在该文件中增加以下函数代码
  1. function parseflash($url) {
  2.         preg_match("/((https?){1}:\/\/|www\.)[^\["']+/i", $url, $matches);
  3.         $url = $matches[0];
  4.         $code = '';
  5.         if($url) {
  6.                 $code = "<script type="text/javascript" reload="1">document.write(AC_FL_RunContent('width', '550', 'height', '400', 'allowNetworking', 'internal', 'allowScriptAccess', 'never', 'src', '$url', 'quality', 'high', 'bgcolor', '#ffffff', 'wmode', 'transparent', 'allowfullscreen', 'true'));</script>";
  7.         }
  8.         return $code;
  9. }
复制代码
修正后可以有效地限制引用的Flash地址

+======================================+
感谢“360第三方漏洞收集平台(http://webscan.360.cn/)”为本次修正提出安全建议
+======================================+

评分

2

查看全部评分

www.laedt.com 发表于 2019-11-25 23:44:08 | 显示全部楼层

期待 discuzQ 王者归来,官网终于有团队管理了,这还可以抢板凳,开心 ,牛气!!!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-22 00:00 , Processed in 0.044185 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表