我有一个由3个部分组成的查询字符串。
前两部分是静态的,但最后一部分是动态的,可以是任何值。
由于IIS阻止/拒绝部分查询字符串中使用的关键字,我需要知道如何在IIS 7.5中的请求过滤中仅允许查询字符串的最后部分的动态值
例如:
in-content = knownvalue& out-content = knownwvalue& searchable = *这可以是由字符,数字,连字符撇号和& s组成的任何单词。标志等。
提前感谢任何帮助人员。
答案 0 :(得分:1)
由于IIS阻止/拒绝部分查询字符串中使用的关键字,我需要知道如何仅为查询字符串的最后部分提供动态值
我认为您目前不能在每个参数级别配置默认的请求验证,因此要允许特定参数的所有输入,您必须禁用它。
(无论如何,我会这样做,因为IIS请求验证是错误的bogus security measure,hides not solves注入问题。)
如果您之后仍希望逐个参数地进行输入过滤,则可以在应用程序中实现该过滤,或者通过提供自己的请求验证(在该类中继承RequestValidation并指向requestValidationType)。特定于应用程序的输入过滤通常是一件好事,但它不是注入XSS问题的答案,对于这些问题,唯一有效的解决方案仍然是为输出上下文正确转义。