是否有一种通用的方法来禁止例如 .swf
上的查询字符串参数IIS 7 中的文件还是使用 .Net?
我们有一个带有第三方 swf 文件的应用程序,它通过使用某些查询字符串参数调用它来允许 XSS。因此,我们希望以通用方式禁用参数。
我唯一想到的是编写一个处理程序,将文件调用重新路由到没有参数的调用。
最佳答案
您不需要 Handler
, 只是一个新的 IIS Rewrite
将匹配的规则 yourfile.swf?*
并将其重写为 yourfile.swf
(明确没有附加 querystring
)。
像(没有检查):
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="strip_querystring" patternSyntax="Wildcard" stopProcessing="true">
<match url="yourfile.swf*" />
<action type="Rewrite" url="yourfile.swf" appendQueryString="false" />
</rule>
</rules>
</rewrite>
</system.webServer>
关于asp.net - 禁止对 IIS 7.5 或 .NET 中的某些文件使用查询参数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15383598/