Discuz! X3.5 表单提交“来路不正确或验证串不符”问题深度解析

1. 问题现象与初步定位

在使用 Discuz! X3.5（DZ3.5）进行表单提交时，用户频繁遇到“来路不正确或验证串不符”的提示。该错误通常出现在以下场景：

• 自定义插件开发中未正确嵌入安全令牌
• 跨域或子域名间提交表单
• CDN 或反向代理导致的 HTTP_REFERER 丢失
• 缓存系统未更新模板中的 {FORMHASH}

此提示本质上是 DZ 安全机制对请求来源合法性的校验失败所致。

2. 核心机制分析：FormHash 与 Referer 双重验证

Discuz! X3.5 采用双重安全策略防止 CSRF 攻击和灌水行为：

3. 常见触发场景与排查路径

1. 模板缺失 {FORMHASH}：自定义插件模板未调用 {FORMHASH} 占位符
2. 跨域提交：前端通过 AJAX 从其他域名发起 POST 请求
3. CDN 缓存静态页：HTML 页面被缓存，{FORMHASH} 固化为旧值
4. 多节点部署 SESSION 不同步：负载均衡下用户跳转节点导致 session 丢失
5. 浏览器隐私模式：禁用第三方 Cookie 导致 REFERER 或 SESSION 异常
6. 服务器配置修改：如 Nginx 隐藏 Referer 头或强制跳转 HTTPS
7. 防灌水机制开启：后台设置“发帖需要验证码”等策略联动拦截
8. 移动端 WebView 提交：原生 App 内嵌页面可能不携带完整 Referer
9. HTTPS 与 HTTP 混合访问：协议切换导致安全上下文断裂
10. 开发者工具模拟请求：手动构造 POST 数据包忽略 formhash 参数

4. 深层技术原理：FormHash 的生成与校验流程

FormHash 是基于用户 UID、登录状态和 salt 字符串生成的动态令牌，其生成逻辑如下：

// 来源：source/function/function_core.php
function formhash($specialadd = '') {
    global $_G;
    $formhash = substr(md5(substr($_G['timestamp'], 0, -7) . $_G['username'] . $_G['uid'] . $_G['authkey'] . $specialadd), 8, 8);
    return $formhash;
}
    

每次页面渲染时，模板引擎将 {FORMHASH} 替换为此函数输出值，提交时系统重新计算并比对。

5. 解决方案矩阵与实施建议

根据实际部署环境选择合适策略组合：

6. 架构级优化：分布式环境下的安全策略适配

在大型论坛或多服务器部署中，需考虑会话一致性问题。以下为典型架构流程图：

graph TD
    A[用户访问页面] --> B{是否命中CDN?}
    B -- 是 --> C[返回缓存HTML]
    B -- 否 --> D[应用服务器生成页面]
    D --> E[插入实时 FormHash]
    E --> F[写入Redis Session]
    G[表单提交] --> H[校验Referer & FormHash]
    H --> I{Session 存在且匹配?}
    I -- 是 --> J[处理业务逻辑]
    I -- 否 --> K[返回“来路不正确”]
    

该流程强调了动态内容与缓存分离的重要性。