Я маю деякі проблеми зі створенням правил вURL Rewrite 2.0 using IIS 7. Я працюю на веб-сайті, який є поєднанням більш сучасного .NET 4.0 матеріалу назад до класичних. допомогти запобігти атакам XSS.
Я отримую основний синтаксис:
<rule name="Rule Name" stopProcessing="true">
<match url="myPage.asp" />
<conditions>
<add input="" pattern="" />
</conditions>
<action type="" />
</rule>
Я знаю, що мені потрібно три кроки, 1) Переконайтеся, що те, що ми розглядаємо, є поштою 2) Визначте будь-який з поганих символів за допомогою регулярного виразу 3) Продовжуйте публікацію з видаленими символами.
Першим я вважаю, що до нього можна звернутися:
<add input="{REQUEST_METHOD}" matchType="Pattern" pattern="POST" ignoreCase="true" />
Що мене засмучує, це другий і третій випуск.
Другий також є входом, але я застряг, намагаючись знайти кращу {} змінну для введення вхідних даних.
<add input="{REQUEST_URI}" pattern="[\|<>]" />
але я знаю, що {REQUEST_URI} не є правильнимзмінна, щоб туди поїхати. Я був на сайті перезапису URL (http://www.iis.net/download/urlrewrite), і я знайшов список серверних змінних IIS 6.0 (http://msdn.microsoft.com/en- us / library / ms524602 (v = vs.90) .aspx), але я не можу знайти хороший список змінних, доступних для мене в 7.0 і вище, і що вони означають. може пройти?
Третій також дає мені питання. Зараз, за деякими іншими правилами, у мене є <action type="AbortRequest" /> встановлюю, але для цього я не хочу зупинятизапит, я шукаю, щоб просто видалити погані символи і продовжити POST. Користувальницьке налаштування правила в IIS виглядає багатообіцяючим, але він просто хоче перенаправити URL, не робити нічого іншого. можливо?
Варто також відзначити, що я дивлюся на модуль IIS Managed Module як альтернативу, щоб отримати те, що я шукаю. Це звучить як кращий шлях для будь-якого?
Відповіді:
0 для відповіді № 1Отже, виявляється, що ви не можете це зробити, і що я неправильно інтерпретував сферу застосування програми перезапису URL.