如何在 IIS 请求筛选中允许部分查询字符串使用通配符
How to allow a wildcard for part of a querystring in IIS request filtering
我有一个由 3 部分组成的查询字符串。
前两部分是静态的,但最后一部分是动态的,可以是任何值。
因为部分查询字符串中使用的关键字被 IIS 阻止/拒绝,所以我需要知道如何在 IIS 7.5 的请求过滤中仅允许查询字符串的最后部分使用动态值
例如:
in-content=knownvalue&out-content=knownwvalue&searchable= *这可以是任何由字符、数字、连字符、撇号和符号等组成的词
在此先感谢大家的帮助。
Because keywords used in part of the querystring are blocked / denied by IIS I need to know how to allow a dynamic value for only the last part of the query string
我认为您目前无法在每个参数级别配置默认请求验证,因此要允许特定参数的所有输入,您必须禁用它。
(无论如何我都会这样做,因为 IIS 请求验证是一个被误导的 bogus security measure that hides not solves 注入问题。)
如果之后您仍然想在逐个参数的基础上进行输入过滤,您可以在应用程序中实现它,或者通过提供您自己的请求验证(subclassing RequestValidation 并指向 requestValidationType 在那个 class)。特定于应用程序的输入过滤通常是一件好事,但这不是注入 XSS 问题的答案,唯一有效的解决方案仍然是正确转义输出上下文。
我有一个由 3 部分组成的查询字符串。
前两部分是静态的,但最后一部分是动态的,可以是任何值。
因为部分查询字符串中使用的关键字被 IIS 阻止/拒绝,所以我需要知道如何在 IIS 7.5 的请求过滤中仅允许查询字符串的最后部分使用动态值
例如:
in-content=knownvalue&out-content=knownwvalue&searchable= *这可以是任何由字符、数字、连字符、撇号和符号等组成的词
在此先感谢大家的帮助。
Because keywords used in part of the querystring are blocked / denied by IIS I need to know how to allow a dynamic value for only the last part of the query string
我认为您目前无法在每个参数级别配置默认请求验证,因此要允许特定参数的所有输入,您必须禁用它。
(无论如何我都会这样做,因为 IIS 请求验证是一个被误导的 bogus security measure that hides not solves 注入问题。)
如果之后您仍然想在逐个参数的基础上进行输入过滤,您可以在应用程序中实现它,或者通过提供您自己的请求验证(subclassing RequestValidation 并指向 requestValidationType 在那个 class)。特定于应用程序的输入过滤通常是一件好事,但这不是注入 XSS 问题的答案,唯一有效的解决方案仍然是正确转义输出上下文。