Как разрешить подстановочный знак для части запроса в фильтрации запросов IIS

Question

У меня есть запрос, состоящий из 3 частей.

Первые 2 части являются статическими, но последний является динамическим и может быть любым значением.

Поскольку ключевые слова, используемые в части строки запроса блокируется/опровергнут IIS Мне нужно знать, как разрешить динамическое значение только для последней части строки запроса в фильтрации запросов в IIS 7.5

Так, например, :

в-контента = knownvalue & из-контента = knownwvalue & поиска = * это может быть любое слово, которое состоит из символов, цифр, & знаки дефис, апостроф в т.д.

заранее спасибо за любую помощь ребята.

Answer 1

Поскольку ключевые слова, используемые в части строки запроса блокируется/опровергнут IIS Мне нужно знать, как разрешить динамическое значение только для последней части строки запроса

Я не верю вы можете настроить проверку запроса по умолчанию на уровне каждого параметра в настоящий момент, чтобы разрешить все входные данные для определенного параметра, которые вы должны были бы отключить.

(я бы сделал это в любом случае, потому что IIS Request Validation является ошибочными bogus security measure что hides not solves проблемы впрыска.)

Если вы все еще хотел сделать вход фильтрации на основе параметров, по-параметра после этого, вы можете осуществить это в приложении или путем предоставления вашей собственной проверки запроса (подклассирование RequestValidation и указание requestValidationType в этом классе). Фильтрация входных данных для приложений, как правило, хорошая вещь, но это не ответ на вопросы XSS для инъекций, для которых единственным эффективным решением остается правильное экранирование для выходного контекста.