क्या दोहरी सुरक्षा खतरनाक है?

मेरे पास एक ASP.NET MVC एप्लिकेशन है जो एक ऐसे मार्ग के साथ है जो / खोज / <खोजकर्ता> के माध्यम से सामान खोजने की अनुमति देता है।

जब मैं "खोज / एबीसी" की आपूर्ति करता हूं तो यह अच्छी तरह से काम करता है, लेकिन जब मैं आपूर्ति करता हूं "/ खोज / ए + बी + सी" (सही तरीके से एन्कोड किया गया) तो IIS7 HTTP त्रुटि 404.11 के अनुरोध को अस्वीकार करता है ( अनुरोध फ़िल्टरिंग मॉड्यूल को अस्वीकार करने के लिए कॉन्फ़िगर किया गया है अनुरोध है कि एक डबल भागने अनुक्रम होता है )। सभी के अनुसार, यह ऐसा क्यों करता है? यह केवल त्रुटि को फेंकने के लिए लगता है यदि यह URL का हिस्सा है, लेकिन क्वेरी स्ट्रिंग (/ संचारित? Q = a + b + c ठीक काम करता है) के भाग के रूप में नहीं।

अब मैं अपने web.config के सुरक्षा अनुभाग में डबल एस्केप अनुरोधों को सक्षम कर सकता हूं लेकिन मैं ऐसा करने में संकोच कर रहा हूं क्योंकि मुझे इसके निहितार्थ समझ में नहीं आते हैं, और न ही सर्वर अनुरोध को अस्वीकार क्यों करेगा "a + b + c" के रूप में URL का हिस्सा लेकिन एक क्वेरी स्ट्रिंग के भाग के रूप में स्वीकार करें।

क्या कोई समझा सकता है और कुछ सलाह दे सकता है कि क्या करना है?

संपादित करें: प्रासंगिक अनुभागों पर जोर दिया गया।

मूल रूप से: IIS अत्यधिक पागल हो रहा है। आप सुरक्षित रूप से इस चेक को अक्षम कर सकते हैं यदि आप यूआरआई डिकोड्ड डेटा (जैसे स्थानीय फाइलसिस्टम यूआरआई को स्ट्रिंग कॉन्सेन्टनेशन के माध्यम से उत्पन्न करना) के साथ विशेष रूप से अनजान नहीं हैं।

चेक को अक्षम करने के लिए निम्नलिखित ( यहाँ से ) करें: (मेरी टिप्पणी नीचे दी गई जानकारी से बचने के लिए क्या है)।

<system.webServer>
    <security>
        <requestFiltering allowDoubleEscaping="true"/>
    </security>
</system.webServer>

यदि खोज प्रतीक में प्लस प्रतीक एक मान्य वर्ण है, तो आपको IIS को URI के पथ से इस तरह के इनपुट को संसाधित करने की अनुमति देने के लिए "allowDoubleEsformation" को सक्षम करने की आवश्यकता होगी ।

अंत में, एक बहुत ही सरल, अगर सीमित वर्कअराउंड केवल '+' से बचने और इसके बजाय '% 20' का उपयोग करने के लिए है। किसी भी स्थिति में, किसी स्थान को एन्कोड करने के लिए '+' प्रतीक का उपयोग करना मान्य url एन्कोडिंग नहीं है , लेकिन प्रोटोकॉल के सीमित सेट के लिए विशिष्ट है और संभवतः पीछे-संगतता कारणों के लिए व्यापक रूप से समर्थित है। यदि केवल विहितकरण उद्देश्यों के लिए, तो आप किसी भी तरह '% 20' के लिए एन्कोडिंग रिक्त स्थान से बेहतर हैं; और यह IIS7 मुद्दे (जो अभी भी 25% जैसे अन्य दृश्यों के लिए क्रॉप कर सकता है) को बेहतर बनाता है।

मैं आपके प्रश्न के भाग "( क्या करूँ समझा नहीं) " से संबंधित Eamon Nerbonne के उत्तर में कुछ जानकारी जोड़ना चाहूँगा । आप किसी विशेष एप्लिकेशन की सेटिंग भी आसानी से बदल सकते हैं

1. व्यवस्थापक अधिकारों के साथ कंसोल खोलना (प्रारंभ - cmd - राइट क्लिक करें, व्यवस्थापक के रूप में चलाएँ)

2. निम्नलिखित में टाइप करना (यहाँ से लिया गया: http://blogs.iis.net/thomad/archive/2007/12/17/iis7-rejecting-urls-contain.aspx ):

   %windir%\system32\inetsrv\appcmd set config "YOURSITENAME" -section:system.webServer/security/requestfiltering -allowDoubleEscaping:true

   (आप विकल्प जैसे कर सकते हैं YOURSITENAMEके साथ Default Web Siteडिफ़ॉल्ट वेबसाइट के लिए इस नियम को लागू करने के लिए)

3. दर्ज करें, तैयार।

एक उदाहरण:

1. सबसे पहले मुझे एक ही समस्या थी:
2. ऊपर वर्णित पाठ में टाइपिंग:
3. अब यह उम्मीद के मुताबिक काम करता है:

क्या आपने खोज URL जैसे '/ खोज / a / b / c' के बारे में सोचा है?

आपको एक रूट सेटअप करना होगा

search/{*path}

और फिर कार्रवाई में अपने पथ स्ट्रिंग से खोज मान निकालें।

HTHs
चार्ल्स

मैं IIS 7.5 में एक अनुप्रयोग में एक Server.TransferRequest () कर रहा था।

फ़ाइल नाम को एन्कोड करने से दोहरी-भागने की समस्या उत्पन्न हुई, लेकिन अगर मैंने इसे एनकोड नहीं किया, तो मैं "संभावित रूप से खतरनाक Request.Path" त्रुटि में चला जाऊंगा ।

किसी भी प्रोटोकॉल को लाना, यहां तक ​​कि एक खाली भी, जिस पर मैं URL पर Server.TranferRequest () में समस्या को हल करता हूं।

काम नहीं करता:

context.Server.TransferRequest("/application_name/folder/bar%20bar.jpg");

काम करता है:

context.Server.TransferRequest("://folder/bar%20bar.jpg");