IIS7 および 8 の要求フィルタリング機能では、URL とクエリ文字列を許可または拒否するルールを設定できます。
dropまたはなどの攻撃ベクトルで入ってくるシーケンスをブロックしたい理由はわかりますdocument.cookieが、既知のクエリ文字列を許可してその他すべてをブロックする以外に、どのクエリ文字列をブロックするかをどうやって知るのでしょうか?
ベストプラクティスに関するフィードバックやリンクをお持ちの方はいらっしゃいますか?
答え1
ヘルプでは古い UrlScan 機能のシナリオが参照されていますが、更新されたシナリオへのリンクがここにあります。 IIS7 の拡張要求フィルタリング機能の使用
簡単に言うと、URL のみを許可したい場合/login.aspx、/default.aspxそれらは許可 URL セクションに配置されます。
また、クエリ文字列を許可しAllow=true、シーケンス..または./