В функции фильтрации запросов IIS7 и 8 можно задать правила, разрешающие или запрещающие URL и QueryString.
Я понимаю, почему вы хотите заблокировать последовательности, которые поступают с такими векторами атак, как dropили , document.cookieно как узнать, какие строки запроса блокировать, кроме разрешения известных вам строк и блокировки всего остального?
Есть ли у кого-нибудь отзывы или ссылки на передовой опыт?
решение1
Хорошо, в справке упоминаются старые сценарии функции UrlScan, но вот ссылка на обновленные сценарии. Использование расширенных функций фильтрации запросов в IIS7
Вкратце: возможно, вы захотите разрешить только URL-адреса /login.aspxи /default.aspx— это будет помещено в раздел разрешенных URL-адресов.
Кроме того, вы можете разрешить строку запроса Allow=true, но запретить любую строку запроса, которая включает последовательность ..или./