Iis
IIS 請求過濾 - 為什麼過濾查詢字元串
在 IIS7 和 8 請求過濾功能中,您可以有規則來允許或拒絕 URL 和 QueryString。
我明白為什麼您要阻止帶有攻擊向量的序列,例如
drop
ordocument.cookie
但是您如何知道要阻止哪些查詢字元串,除了允許您知道的查詢字元串並阻止其他所有內容?有沒有人對最佳實踐有任何回饋或連結?
好的,在幫助中它指的是舊的 UrlScan 功能場景,但這裡是更新場景的連結。 在 IIS7 中使用增強的請求過濾功能
簡而言之:您可能只想允許 URL
/login.aspx
,並且/default.aspx
- 這些將放在允許 URL 部分中。此外,您可能希望允許查詢字元串
Allow=true
,但不允許任何包含序列的查詢字元串..
或./