asp.net – 禁止在IIS 7.5或.NET中的某些文件上查询参数

是否有一种通用的方法来禁止IIS 7中的.swf文件或使用.Net的查询字符串参数?

我们有一个第三方swf文件的应用程序,允许XSS使用某些查询字符串参数调用它.因此,我们希望以通用方式禁用参数.

我唯一想到的是编写一个处理程序,将文件调用重新路由到没有参数的调用.

最佳答案
您不需要Handler,只需要一个与您的file.swf?*匹配的新IIS重写规则,并将其重写为yourfile.swf(显式不附加查询字符串).

像(没有检查)的东西:

<configuration>
<system.webServer>
    <rewrite>
        <rules>
            <rule name="strip_querystring" patternSyntax="Wildcard" stopProcessing="true">
                <match url="yourfile.swf*" />
                <action type="Rewrite" url="yourfile.swf" appendQueryString="false" />
            </rule>
        </rules>
    </rewrite>
</system.webServer>

转载注明原文:asp.net – 禁止在IIS 7.5或.NET中的某些文件上查询参数 - 代码日志