IIS 請求過濾 - 為什麼過濾查詢字元串

在 IIS7 和 8 請求過濾功能中，您可以有規則來允許或拒絕 URL 和 QueryString。

我明白為什麼您要阻止帶有攻擊向量的序列，例如dropordocument.cookie但是您如何知道要阻止哪些查詢字元串，除了允許您知道的查詢字元串並阻止其他所有內容？

有沒有人對最佳實踐有任何回饋或連結？

好的，在幫助中它指的是舊的 UrlScan 功能場景，但這裡是更新場景的連結。 在 IIS7 中使用增強的請求過濾功能

簡而言之：您可能只想允許 URL /login.aspx，並且/default.aspx- 這些將放在允許 URL 部分中。

此外，您可能希望允許查詢字元串Allow=true，但不允許任何包含序列的查詢字元串..或./

引用自：https://serverfault.com/questions/693571