在 IIS7 和 8 請求過濾功能中,您可以設定允許或拒絕 URL 和查詢字串的規則。
我明白為什麼您想要阻止帶有攻擊向量的序列,例如drop或document.cookie,但是您如何知道要阻止哪些查詢字串,除了允許您知道的查詢字串並阻止其他所有內容?
有人獲得有關最佳實踐的回饋或連結嗎?
答案1
好的,在幫助中它指的是舊的 UrlScan 功能場景,但這裡是更新場景的連結。 使用 IIS7 中增強的請求過濾功能
簡而言之:您可能只想允許 URL,/login.aspx並且/default.aspx- 這些將被放入允許 URL 部分。
此外,您可能希望允許查詢字串Allow=true,但不允許任何包含序列..或./