In der Anforderungsfilterfunktion von IIS7 und 8 können Sie Regeln zum Zulassen oder Verweigern von URLs und Abfragezeichenfolgen festlegen.
Ich verstehe, warum Sie Sequenzen blockieren möchten, die mit Angriffsvektoren wie dropoder eingehen document.cookie, aber woher wissen Sie, welche Abfragezeichenfolgen blockiert werden sollen, außer dass Sie die zulassen, die Sie kennen, und alles andere blockieren?
Hat jemand Feedback oder Links zu Best Practices?
Antwort1
Ok, in der Hilfe wird auf die alten Szenarien der UrlScan-Funktion verwiesen, aber hier ist ein Link zu den aktualisierten Szenarien. Verwenden erweiterter Anforderungsfilterfunktionen in IIS7
Kurz gesagt: Möglicherweise möchten Sie nur URLs zulassen /login.aspxund /default.aspxdiese würden in den Abschnitt „URLs zulassen“ eingefügt.
Möglicherweise möchten Sie auch die Abfragezeichenfolge zulassen Allow=true, aber keine Abfragezeichenfolge zulassen, die die Sequenz enthält ..oder./