Чи ввімкнення подвійного втечі небезпечне?

У мене є програма ASP.NET MVC з маршрутом, який дозволяє шукати речі через / search / <searchterm>.

Коли я постачаю "search / abc", він працює добре, але коли я постачаю "/ search / a + b + c" (правильно вказано URL), IIS7 відхиляє запит із помилкою HTTP 404.11 ( Модуль фільтрації запитів налаштований для заборони запит, що містить подвійну послідовність відходу ). По-перше, чому це робиться? Він видає помилку лише у тому випадку, якщо вона є частиною URL-адреси, але не є частиною рядка запиту (/ передача? Q = a + b + c працює нормально).

Тепер я можу ввімкнути подвійні запити на скасування в розділі безпеки мого web.config, але я не вагаюсь робити це, оскільки я не розумію наслідків, а також чому сервер не відхиляє запит "a + b + c" як частина URL-адреси, але прийняти її як частину рядка запиту.

Може хтось пояснить і дасть поради, що робити?

Редагувати: додано акцент до відповідних розділів.

В основному: IIS надмірно параноїчний. Ви можете безпечно відключити цю перевірку, якщо ви не робите нічого особливо нерозумного з декодованими даними урі (наприклад, генерування URI локальної файлової системи за допомогою рядкового конкатенації).

Щоб вимкнути перевірку, виконайте наступне ( звідси ): (див. Мій коментар нижче про те, що спричиняє подвійне проскакування).

<system.webServer>
    <security>
        <requestFiltering allowDoubleEscaping="true"/>
    </security>
</system.webServer>

Якщо символ плюс є дійсним символом у пошуковому введенні, вам потрібно буде включити "enableDoubleEscaping", щоб дозволити IIS обробляти такий вхід з шляху URI.

Нарешті, дуже простий, якщо обмежений спосіб вирішення - просто уникати "+" та використовувати "% 20". У будь-якому випадку, використання символу "+" для кодування простору не є дійсним кодуванням URL-адреси , а є специфічним для обмеженого набору протоколів і, ймовірно, широко підтримується з міркувань зворотної сумісності. Якщо тільки для цілей канонізації, то вам краще все-таки кодувати пробіли як "% 20"; і це чудово уникає проблеми IIS7 (яка все ще може з'явитися для інших послідовностей, таких як% 25ab.)

Я просто хотів би додати деяку інформацію до відповіді Еймона Нербонна, що стосується частини " що робити " у вашому запитанні (не пояснюючи, чому це стосується).
Ви також можете легко змінити налаштування певної програми

1. відкриття консолі з правами адміністратора (Пуск - cmd - клацнути правою кнопкою миші; Запустити як адміністратор)

2. введіть наступне (взято звідси: http://blogs.iis.net/thomad/archive/2007/12/17/iis7-rejecting-urls-contain.aspx ):

   %windir%\system32\inetsrv\appcmd set config "YOURSITENAME" -section:system.webServer/security/requestfiltering -allowDoubleEscaping:true

   (Наприклад , ви можете замінити YOURSITENAMEз Default Web Siteдля застосування цього правила сайту за замовчуванням)

3. Вхід, готовий.

Приклад:

1. по-перше, у мене була та сама проблема:
2. Введення тексту, згаданого вище:
3. Зараз він працює як очікувалося:

Чи думали ви про те, щоб мати пошукову URL-адресу типу "/ search / a / b / c"?

Вам потрібно встановити такий маршрут

search/{*path}

А потім дістаньте значення пошуку зі свого рядка шляху в дії.

HTH
Чарльз

Я зіткнувся з цим під IIS 7.5, роблячи Server.TransferRequest () у додатку.

Кодування імені файлу спричинило проблему подвійного виходу, але якщо я не кодував його, я зіткнувся з помилкою "потенційно небезпечний Request.Path" .

Поклавши будь-який протокол, навіть порожній, на URL-адресу, яку я передаю Server.TranferRequest () виправив проблему.

Не працює:

context.Server.TransferRequest("/application_name/folder/bar%20bar.jpg");

Працює:

context.Server.TransferRequest("://folder/bar%20bar.jpg");