Iis

IIS 請求過濾 - 為什麼過濾查詢字元串

  • May 21, 2015

在 IIS7 和 8 請求過濾功能中,您可以有規則來允許或拒絕 URL 和 QueryString。

我明白為什麼您要阻止帶有攻擊向量的序列,例如dropordocument.cookie但是您如何知道要阻止哪些查詢字元串,除了允許您知道的查詢字元串並阻止其他所有內容?

有沒有人對最佳實踐有任何回饋或連結?

好的,在幫助中它指的是舊的 UrlScan 功能場景,但這裡是更新場景的連結。 在 IIS7 中使用增強的請求過濾功能

簡而言之:您可能只想允許 URL /login.aspx,並且/default.aspx- 這些將放在允許 URL 部分中。

此外,您可能希望允許查詢字元串Allow=true,但不允許任何包含序列的查詢字元串.../

引用自:https://serverfault.com/questions/693571