No recurso Filtragem de solicitação do IIS7 e 8, você pode ter regras para permitir ou negar URL e QueryString.
Entendo por que você deseja bloquear sequências que vêm com vetores de ataque, como dropou, document.cookiemas como saber quais strings de consulta bloquear, exceto permitir aquelas que você conhece e bloquear todo o resto?
Alguém recebeu algum feedback ou link sobre as melhores práticas?
Responder1
Ok, na ajuda refere-se aos cenários antigos do recurso UrlScan, mas aqui está um link para os cenários atualizados. Usando recursos aprimorados de filtragem de solicitações no IIS7
Resumindo: você pode querer permitir apenas URLs /login.aspxe /default.aspx- eles seriam colocados na seção permitir URL.
Além disso, você pode querer permitir a string de consulta, Allow=truemas proibir qualquer string de consulta que inclua a sequência ..ou./