在IIS 7.5或.NET中禁止某些文件的查询参数

Question

有没有一种通用的方式来拒绝查询字符串参数，例如在IIS 7中使用.swf文件或使用.Net？

我们有一个第三方swf文件的应用程序，允许XSS通过调用某些查询字符串参数。因此我们希望以通用方式禁用参数。

我唯一想到的是编写一个处理程序，将文件调用重新路由到不带参数的调用。

Answer 1

你并不需要一个Handler，只是一个新的IIS Rewrite规则，会匹配yourfile.swf?*并重写为yourfile.swf（明确无附加querystring） 。

喜欢的东西（没有检查）：

<configuration> 
<system.webServer> 
    <rewrite> 
     <rules> 
      <rule name="strip_querystring" patternSyntax="Wildcard" stopProcessing="true"> 
       <match url="yourfile.swf*" /> 
       <action type="Rewrite" url="yourfile.swf" appendQueryString="false" /> 
      </rule> 
     </rules> 
    </rewrite> 
</system.webServer> 

Answer 2

在Global.asax BeginRequest事件试试这个

Private Sub Global_BeginRequest(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.BeginRequest 

     Dim httpContext As HttpContext = httpContext.Current 
     Dim request As HttpRequest = httpContext.Request 
     Dim response As HttpResponse = httpContext.Response 

     If request.QueryString.Count > 0 AndAlso request.Url.LocalPath.EndsWith(".swf", StringComparison.InvariantCultureIgnoreCase) = True Then 
      response.Redirect(request.Url.LocalPath) 
     End If 


    End Sub