设为首页收藏本站

Discuz! 官方站

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 90736|回复: 0

Discuz!7.X严格限制引用的Flash地址解决方案

[复制链接]
发表于 2013-4-3 15:49:36 | 显示全部楼层 |阅读模式
         经过测试Flash引用时存在过滤不严格的BUG,现给出以下修正方案:

        1、找到include\discuzcode.func.php文件
        2、在discuzcode函数中查找
  1. if($allowmediacode && strpos($msglower, '[/flash]') !== FALSE) {
  2.                         $message = preg_replace("/\[flash\]\s*([^\[\<\r\n]+?)\s*\[\/flash\]/is", "<script type=\"text/javascript\" reload=\"1\">document.write(AC_FL_RunContent('width', '550', 'height', '400', 'allowNetworking', 'internal', 'allowScriptAccess', 'never', 'src', '\\1', 'quality', 'high', 'bgcolor', '#ffffff', 'wmode', 'transparent', 'allowfullscreen', 'true'));</script>", $message);
  3.                 }
复制代码
换行成
  1. if($allowmediacode && strpos($msglower, '[/flash]') !== FALSE) {
  2.                         $message = preg_replace("/\[flash\]\s*([^\[\<\r\n]+?)\s*\[\/flash\]/ies", "parseflash('\\1')", $message);
  3.                 }
复制代码
3、在该文件中增加以下函数代码
  1. function parseflash($url) {
  2.         preg_match("/((https?){1}:\/\/|www\.)[^\[\"']+/i", $url, $matches);
  3.         $url = $matches[0];
  4.         $code = '';
  5.         if($url) {
  6.                 $code = "<script type=\"text/javascript\" reload=\"1\">document.write(AC_FL_RunContent('width', '550', 'height', '400', 'allowNetworking', 'internal', 'allowScriptAccess', 'never', 'src', '$url', 'quality', 'high', 'bgcolor', '#ffffff', 'wmode', 'transparent', 'allowfullscreen', 'true'));</script>";
  7.         }
  8.         return $code;
  9. }
复制代码
修正后可以有效地限制引用的Flash地址

+======================================+
感谢“360第三方漏洞收集平台(http://webscan.360.cn/)”为本次修正提出安全建议
+======================================+

评分

2

查看全部评分

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|Comsenz ( 粤B2-20090059-165 )  star

GMT+8, 2018-10-19 11:21

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表