0
我有一个使用IIS 7.5的站点,它也使用ISAPI重写。我想重定向一些URL,这些URL将由我们的业务合作伙伴使用的一个桌面软件传递。基本上他们有一个可以用来查找产品的应用程序,他们可以点击应用程序中的产品并进入供应商的网站。安全地允许IIS上的双重转义
问题是应用程序,许多客户使用该应用程序,无法更改以适应我,使用“+”来消除某些URL参数中的空格。这是导致问题的原因,因为我试图使用ISAPI重写来重新编写基于部件号的URL。 “+”号会导致IIS返回“未找到”错误。
根据我读过的所有内容,这可以通过在web.config文件中允许双重转义来解决。每个人似乎都很容忍这件事,但我认为MS认为这是一个安全问题。
那么,允许双重逃跑的危险究竟是什么?我们有一个在这个服务器上运行的asp经典网站,所以我不想冒任何暴露在网站或数据库中的风险。 OTOH如果我能够自信地放弃它,这将是解决问题的一个非常简单的方法。
谢谢,我将继续尝试。我喜欢你的软件,并发现这令人印象深刻,你在这里发现这个问题的答案。 – valis