В функции фильтрации запросов IIS7 и 8 у вас могут быть правила, разрешающие или запрещающие URL и QueryString.
Я понимаю, почему вам нужно блокировать последовательности, содержащие векторы атаки, такие как drop
или document.cookie
но как узнать, какие строки запроса блокировать, кроме разрешенных, которые вы знаете, и блокировать все остальное?
Есть ли у кого-нибудь отзывы или ссылки на лучшие практики?
Хорошо, в справке это относится к старым сценариям функции UrlScan, но вот ссылка на обновленные сценарии. Использование расширенных функций фильтрации запросов в IIS7
Вкратце: вы можете разрешить только URL-адреса /login.aspx
и /default.aspx
- они будут помещены в разрешающий раздел URL.
Кроме того, вы можете разрешить строку запроса Allow=true
но запретить любую строку запроса, содержащую последовательность ..
или ./