Назад | Перейти на главную страницу

Фильтрация запросов IIS - зачем фильтровать строки запросов

В функции фильтрации запросов IIS7 и 8 у вас могут быть правила, разрешающие или запрещающие URL и QueryString.

Я понимаю, почему вам нужно блокировать последовательности, содержащие векторы атаки, такие как drop или document.cookie но как узнать, какие строки запроса блокировать, кроме разрешенных, которые вы знаете, и блокировать все остальное?

Есть ли у кого-нибудь отзывы или ссылки на лучшие практики?

Хорошо, в справке это относится к старым сценариям функции UrlScan, но вот ссылка на обновленные сценарии. Использование расширенных функций фильтрации запросов в IIS7

Вкратце: вы можете разрешить только URL-адреса /login.aspx и /default.aspx - они будут помещены в разрешающий раздел URL.

Кроме того, вы можете разрешить строку запроса Allow=true но запретить любую строку запроса, содержащую последовательность .. или ./