在 IIS7 和 8 请求过滤功能中,您可以制定规则来允许或拒绝 URL 和查询字符串。
我明白为什么您要阻止来自攻击媒介的序列(例如drop或)document.cookie,但是您如何知道要阻止哪些查询字符串,除了允许您知道的查询字符串并阻止其他所有内容?
有人有关于最佳实践的反馈或链接吗?
答案1
好的,在帮助中它引用了旧的 UrlScan 功能场景,但这里是更新场景的链接。 在 IIS7 中使用增强的请求过滤功能
简而言之:您可能只想允许 URL/login.aspx并且/default.aspx- 这些将被放在允许 URL 部分。
此外,您可能希望允许查询字符串Allow=true,但禁止任何包含序列..或./