IIS请求筛选模块被配置为拒绝包含双重转义序列的请求404.11

 刘管家 发表于 2021年01月01日 服务器  72
刘管家
LV 2 [幼儿]
最后在线:17天前
加入时间:61天前
主帖:20  跟帖:1

在运行论坛插件时候出现了这么一个错误页面:


1,什么是双重转义序列

双重转义字符 (例如,"abc\\d") 对于url,+先转义为space(空格),空格再转义为%20

2,IIS的Request Filtering机制

IIS7以及以上版本,集成了一个URLScan工具,用于扫描url,检测不安全的字符,此工具的Request Filtering模块用于过滤不安全的请求。

https://docs.microsoft.com/en-us/iis/manage/configuring-security/use-request-filtering

其中的double-encoded requests filter(双重转义过滤器),用于过滤双重转义序列。

当url出现双重转义序列时,IIS将对url进行两次url规范化(url normalization),当第一次规范化后的字符串与第二次规范化的字符串不一致时,IIS认为这是危险的url,IIS将拒绝这一请求,并返回404.11错误。

3,解决办法:

关闭 double-encoded requests filter

<system.webServer>
<security>
<requestFiltering allowDoubleEscaping="true"/>
</security>
</system.webServer>

论坛主帖
20
论坛跟帖
1
在线访客
0
今日主帖
0
今日跟帖
0
今日注册
0
7
http://91kbl.cn/bbs/gentie.html
http://91kbl.cn/bbs/postzan.html
http://91kbl.cn/bbs/postcai.html
http://91kbl.cn/bbs/postshoucang.html
http://91kbl.cn/bbs/gentiezan.html
http://91kbl.cn/bbs/gentiecai.html
http://91kbl.cn/bbs/huifu.html
http://91kbl.cn/bbs/xiugai.html
http://91kbl.cn/bbs/shanchugentie.html
1
XzA=
1
© 2021 自由园 版权所有
Powered by JianYuLunTan
鲁ICP备16000743号
http://91kbl.cn/bbs/feedback.html
http://91kbl.cn/bbs/qiandao.html
http://91kbl.cn/bbs/denglu.html
0
http://91kbl.cn/bbs/adenglu.html
剑鱼论坛