Discuz!7.X嚴格限制引用的Flash地址解決方案

dashen

經過測試Flash引用時存在過濾不嚴格的BUG，現給出以下修正方案：

        1、找到include\discuzcode.func.php文件
        2、在discuzcode函數中查找

1. if($allowmediacode && strpos($msglower, '[/flash]') !== FALSE) {
   
2.                         $message = preg_replace("/\[flash\]\s*([^\[\<\r\n]+?)\s*\[\/flash\]/is", "<script type="text/javascript" reload="1">document.write(AC_FL_RunContent('width', '550', 'height', '400', 'allowNetworking', 'internal', 'allowScriptAccess', 'never', 'src', '\\1', 'quality', 'high', 'bgcolor', '#ffffff', 'wmode', 'transparent', 'allowfullscreen', 'true'));</script>", $message);
   
3.                 }

復制代碼

換行成

1. if($allowmediacode && strpos($msglower, '[/flash]') !== FALSE) {
   
2.                         $message = preg_replace("/\[flash\]\s*([^\[\<\r\n]+?)\s*\[\/flash\]/ies", "parseflash('\\1')", $message);
   
3.                 }

復制代碼

3、在該文件中增加以下函數代碼

1. function parseflash($url) {
   
2.         preg_match("/((https?){1}:\/\/|www\.)[^\["']+/i", $url, $matches);
   
3.         $url = $matches[0];
   
4.         $code = '';
   
5.         if($url) {
   
6.                 $code = "<script type="text/javascript" reload="1">document.write(AC_FL_RunContent('width', '550', 'height', '400', 'allowNetworking', 'internal', 'allowScriptAccess', 'never', 'src', '$url', 'quality', 'high', 'bgcolor', '#ffffff', 'wmode', 'transparent', 'allowfullscreen', 'true'));</script>";
   
7.         }
   
8.         return $code;
   
9. }

復制代碼

修正后可以有效地限制引用的Flash地址

+======================================+
感謝“360第三方漏洞收集平臺（http://webscan.360.cn/）”為本次修正提出安全建議
+======================================+

瘋子公流倜儻

支持 辛苦了

羅永浩

只是7.X嗎

金黑網絡

這個可以。

qq546456580

感謝分享

qq546456580

感謝分享

財源滾滾

感謝分享