是否存在一种通用的方法来禁止IIS 7中的.swf
文件或使用.Net的查询字符串参数?
我们有一个第三方swf文件的应用程序,允许XSS通过使用某些查询字符串参数调用它。因此,我们希望以通用方式禁用参数。
我唯一想到的是编写一个处理程序,将文件调用重新路由到没有参数的调用。
答案 0 :(得分:2)
您不需要Handler
,只需要与Rewrite
匹配的新IIS yourfile.swf?*
规则,并将其重写为yourfile.swf
(明确不附加{{1} }})。
像(没有检查)的东西:
querystring
答案 1 :(得分:0)
在Global.asax BeginRequest事件中尝试此操作
Private Sub Global_BeginRequest(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.BeginRequest
Dim httpContext As HttpContext = httpContext.Current
Dim request As HttpRequest = httpContext.Request
Dim response As HttpResponse = httpContext.Response
If request.QueryString.Count > 0 AndAlso request.Url.LocalPath.EndsWith(".swf", StringComparison.InvariantCultureIgnoreCase) = True Then
response.Redirect(request.Url.LocalPath)
End If
End Sub