IIS7 및 8 요청 필터링 기능에서는 URL 및 QueryString을 허용하거나 거부하는 규칙을 가질 수 있습니다.
drop또는 같은 공격 벡터와 함께 제공되는 시퀀스를 차단하려는 이유를 알지만, document.cookie알고 있는 쿼리 문자열을 허용하고 다른 모든 문자열을 차단하는 것을 제외하고 차단할 쿼리 문자열을 어떻게 알 수 있습니까?
모범 사례에 대한 피드백이나 링크를 받은 사람이 있습니까?
답변1
좋습니다. 도움말에서는 이전 UrlScan 기능 시나리오를 참조하지만 여기에는 업데이트된 시나리오에 대한 링크가 있습니다. IIS7에서 향상된 요청 필터링 기능 사용
간단히 말해서: URL만 허용하고 싶을 수도 /login.aspx있으며 /default.aspx, URL 허용 섹션에 URL을 입력합니다.
또한 쿼리 문자열은 허용 Allow=true하지만 시퀀스 ..또는./