Nie zezwalaj na parametry zapytania dla niektórych plików w IIS 7.5 lub z .NET

Question

Czy istnieje ogólny sposób blokowania parametrów kwerendy na przykład w plikach .swf w IIS 7 lub przy użyciu .Net?

Mamy aplikację z plikiem swf strony Thrid, która pozwala XSS, wywołując go z pewnymi parametrami ciągu zapytania. Dlatego chcemy wyłączyć parametry w sposób ogólny.

Jedyne, co przychodzi mi na myśl, to pisanie programu obsługi, który przekieruje połączenie do wywołania bez parametrów.

Answer 1

Nie potrzebujemy Handler, tylko nowy IIS Rewrite regułę, która będzie pasował yourfile.swf?* i przepisać go jako yourfile.swf (jawnie bez dołączania querystring) .

coś jak (nie to sprawdzić):

<configuration> 
<system.webServer> 
    <rewrite> 
     <rules> 
      <rule name="strip_querystring" patternSyntax="Wildcard" stopProcessing="true"> 
       <match url="yourfile.swf*" /> 
       <action type="Rewrite" url="yourfile.swf" appendQueryString="false" /> 
      </rule> 
     </rules> 
    </rewrite> 
</system.webServer> 

Answer 2

Spróbuj to w przypadku Global.asax BeginRequest

Private Sub Global_BeginRequest(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.BeginRequest 

     Dim httpContext As HttpContext = httpContext.Current 
     Dim request As HttpRequest = httpContext.Request 
     Dim response As HttpResponse = httpContext.Response 

     If request.QueryString.Count > 0 AndAlso request.Url.LocalPath.EndsWith(".swf", StringComparison.InvariantCultureIgnoreCase) = True Then 
      response.Redirect(request.Url.LocalPath) 
     End If 


    End Sub