禁止在IIS 7.5或.NET中的某些文件上查询参数

时间:2013-03-13 11:09:10

标签: asp.net .net iis iis-7.5

是否存在一种通用的方法来禁止IIS 7中的.swf文件或使用.Net的查询字符串参数?

我们有一个第三方swf文件的应用程序,允许XSS通过使用某些查询字符串参数调用它。因此,我们希望以通用方式禁用参数。

我唯一想到的是编写一个处理程序,将文件调用重新路由到没有参数的调用。

2 个答案:

答案 0 :(得分:2)

您不需要Handler,只需要与Rewrite匹配的新IIS yourfile.swf?*规则,并将其重写为yourfile.swf(明确不附加{{1} }})。

像(没有检查)的东西:

querystring

答案 1 :(得分:0)

在Global.asax BeginRequest事件中尝试此操作

 Private Sub Global_BeginRequest(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.BeginRequest

        Dim httpContext As HttpContext = httpContext.Current
        Dim request As HttpRequest = httpContext.Request
        Dim response As HttpResponse = httpContext.Response

        If request.QueryString.Count > 0 AndAlso request.Url.LocalPath.EndsWith(".swf", StringComparison.InvariantCultureIgnoreCase) = True Then
            response.Redirect(request.Url.LocalPath)
        End If


    End Sub