Là kích hoạt gấp đôi thoát nguy hiểm?

Tôi có một ứng dụng ASP.NET MVC với một tuyến đường cho phép tìm kiếm nội dung thông qua / search / <searchterm>.

Khi tôi cung cấp "search / abc" thì nó hoạt động tốt, nhưng khi tôi cung cấp "/ search / a + b + c" (mã hóa url chính xác) thì IIS7 từ chối yêu cầu với HTTP Error 404.11 ( Mô-đun lọc yêu cầu được cấu hình để từ chối a yêu cầu có chứa một chuỗi thoát kép ). Tất cả, tại sao nó làm điều này? Nó dường như chỉ ném lỗi nếu nó là một phần của URL, nhưng không phải là một phần của chuỗi truy vấn (/ truyền? Q = a + b + c hoạt động tốt).

Bây giờ tôi có thể kích hoạt các yêu cầu thoát kép trong phần bảo mật của web.config nhưng tôi ngần ngại thực hiện vì tôi không hiểu hàm ý này và tại sao máy chủ sẽ từ chối yêu cầu "a + b + c" như một phần của URL nhưng chấp nhận như một phần của chuỗi truy vấn.

Ai đó có thể giải thích và đưa ra một số lời khuyên phải làm gì?

Chỉnh sửa: Đã nhấn mạnh vào các phần có liên quan.

Về cơ bản: IIS đang bị hoang tưởng quá mức. Bạn có thể vô hiệu hóa kiểm tra này một cách an toàn nếu bạn không làm gì đặc biệt không khôn ngoan với dữ liệu được giải mã bằng uri (chẳng hạn như tạo URI của hệ thống tệp cục bộ thông qua nối chuỗi).

Để vô hiệu hóa kiểm tra, hãy làm như sau (từ đây ): (xem nhận xét của tôi bên dưới để biết những gì thoát gấp đôi đòi hỏi).

<system.webServer>
    <security>
        <requestFiltering allowDoubleEscaping="true"/>
    </security>
</system.webServer>

Nếu biểu tượng dấu cộng là ký tự hợp lệ trong đầu vào tìm kiếm, bạn sẽ cần bật "allowDoubleEscaping" để cho phép IIS xử lý đầu vào đó từ đường dẫn của URI.

Cuối cùng, một cách rất đơn giản, nếu cách giải quyết hạn chế chỉ đơn giản là để tránh '+' và sử dụng '% 20' thay vào đó. Trong mọi trường hợp, sử dụng biểu tượng '+' để mã hóa một khoảng trắng không phải là mã hóa url hợp lệ , nhưng cụ thể cho một bộ giao thức giới hạn và có thể được hỗ trợ rộng rãi vì lý do tương thích ngược. Nếu chỉ cho mục đích chuẩn hóa, tốt hơn hết là bạn nên mã hóa không gian dưới dạng '% 20'; và điều này đặc biệt vượt qua vấn đề IIS7 (vẫn có thể cắt xén cho các chuỗi khác, chẳng hạn như% 25ab.)

Tôi chỉ muốn thêm một số thông tin vào câu trả lời của Eamon Nerbonne liên quan đến phần " phải làm gì " trong câu hỏi của bạn (không giải thích về vấn đề cá nhân).
Bạn cũng có thể dễ dàng thay đổi cài đặt của một ứng dụng cụ thể với

1. mở bảng điều khiển với quyền quản trị viên (Bắt đầu - cmd - nhấp chuột phải, Chạy với tư cách quản trị viên)

2. gõ vào phần sau (lấy từ đây: http://bloss.iis.net/thomad/archive/2007/12/17/iis7-rejecting-urls-contained.aspx ):

   %windir%\system32\inetsrv\appcmd set config "YOURSITENAME" -section:system.webServer/security/requestfiltering -allowDoubleEscaping:true

   (bạn có thể ví dụ như thay thế YOURSITENAMEvới Default Web Siteáp dụng quy tắc này để trang web mặc định)

3. Nhập, sẵn sàng.

Một ví dụ:

1. Đầu tiên tôi gặp vấn đề tương tự:
2. Gõ vào văn bản được đề cập ở trên:
3. Bây giờ nó hoạt động như mong đợi:

Bạn đã nghĩ về việc có URL tìm kiếm như '/ search / a / b / c' chưa?

Bạn sẽ cần thiết lập một tuyến đường như

search/{*path}

Và sau đó trích xuất các giá trị tìm kiếm từ chuỗi đường dẫn của bạn trong hành động.

HTHs
Charles

Tôi đã gặp vấn đề này trong IIS 7.5 khi thực hiện Server.TransferRequest () trong một ứng dụng.

Mã hóa tên tệp gây ra sự cố thoát kép, nhưng nếu tôi không mã hóa thì tôi sẽ gặp phải lỗi "Request.Path" nguy hiểm tiềm tàng .

Đặt bất kỳ giao thức nào, thậm chí là một giao thức trống, trên URL tôi chuyển đến Server.TranferRequest () đã khắc phục sự cố.

Không hoạt động:

context.Server.TransferRequest("/application_name/folder/bar%20bar.jpg");

Làm:

context.Server.TransferRequest("://folder/bar%20bar.jpg");