En la función de filtrado de solicitudes de IIS7 y 8, puede tener reglas para permitir o denegar URL y QueryString.
Entiendo por qué querrías bloquear secuencias que vienen con vectores de ataque como dropo, document.cookiepero ¿cómo sabes qué cadenas de consulta bloquear, excepto permitir las que conoces y bloquear todo lo demás?
¿Alguien tiene algún comentario o enlace sobre las mejores prácticas?
Respuesta1
Bien, en la ayuda se hace referencia a los escenarios de funciones anteriores de UrlScan, pero aquí hay un enlace a los escenarios actualizados. Uso de funciones mejoradas de filtrado de solicitudes en IIS7
En pocas palabras: es posible que solo desee permitir URL /login.aspxy /default.aspxestas se colocarían en la sección permitir URL.
Además, es posible que desee permitir la cadena de consulta Allow=truepero no permitir cualquier cadena de consulta que incluya la secuencia ..o./