ডাবল এসকেপিং সক্ষম করা কি বিপজ্জনক?

আমার কাছে একটি এএসপি.এনইটি এমভিসি অ্যাপ্লিকেশন রয়েছে যা একটি রুট যা / সন্ধান / <সন্ধানী> মাধ্যমে স্টাফ অনুসন্ধান করতে দেয়।

আমি যখন "অনুসন্ধান / এবিসি" সরবরাহ করি এটি ভাল কাজ করে তবে আমি যখন "/ অনুসন্ধান / এ + বি + সি" সরবরাহ করি (সঠিকভাবে ইউআরএল এনকোড থাকে) তখন আইআইএস 7 টি অনুরোধটি এইচটিটিপি ত্রুটি 404.11 দিয়ে প্রত্যাখ্যান করে ( অনুরোধ ফিল্টারিং মডিউলটি অস্বীকার করার জন্য কনফিগার করা হয় অনুরোধ যাতে ডাবল এস্কেপ ক্রম থাকে )। প্রথমত, এটি কেন এটি করে? এটি কেবলমাত্র URL টির অংশ হলে ত্রুটিটি ছুঁড়ে ফেলেছে বলে মনে হচ্ছে, তবে কোনও ক্যোয়ারী স্ট্রিংয়ের অংশ হিসাবে নয় (/ সংক্রমণ? Q = a + b + c ভাল কাজ করে)।

এখন আমি আমার ওয়েবকনফাইগের সুরক্ষা বিভাগে ডাবল পালানোর অনুরোধগুলি সক্ষম করতে পেরেছিলাম তবে এর প্রভাবগুলি বুঝতে না পারায় আমি তা করতে দ্বিধা বোধ করছি এবং না কেন সার্ভার অনুরোধটিকে "a + b + c" প্রত্যাখ্যান করবে? ইউআরএল অংশ কিন্তু কোয়েরি স্ট্রিং অংশ হিসাবে গ্রহণ।

কেউ কি ব্যাখ্যা করতে এবং কিছু পরামর্শ দিতে পারে?

সম্পাদনা করুন: প্রাসঙ্গিক বিভাগগুলিতে জোর দেওয়া হয়েছে।

মূলত: আইআইএস অতিরিক্ত চাপবিহীন হচ্ছে। আপনি যদি ইউরি ডিকোডড ডেটা (যেমন স্ট্রিং কনটেন্টেশনের মাধ্যমে স্থানীয় ফাইল সিস্টেম ইউআরআই উত্সাহিত করা) দিয়ে বিশেষত অযৌক্তিকভাবে কিছু না করেন তবে আপনি এই চেকটি নিরাপদে অক্ষম করতে পারেন can

চেকটি নিষ্ক্রিয় করতে নিম্নলিখিতগুলি এখানে করুন (এখান থেকে ):

<system.webServer>
    <security>
        <requestFiltering allowDoubleEscaping="true"/>
    </security>
</system.webServer>

যোগ চিহ্ন একটি অনুসন্ধান ইনপুট জন্য একটি বৈধ চরিত্র থাকে, তাহলে আপনি হবে প্রয়োজন পারমিট কোনো URI এর পথ থেকে যেমন ইনপুট প্রক্রিয়া আইআইএস থেকে "allowDoubleEscaping" সক্রিয়।

পরিশেষে, খুব সহজ, যদি সীমিত কাজটি কেবল '+' এড়াতে হয় এবং তার পরিবর্তে '% 20' ব্যবহার করা হয়। যাই হোক, + প্রতীক ব্যবহার করে একটি স্থান এনকোড হয় না বৈধ url এনকোডিং কিন্তু নির্দিষ্ট প্রোটোকলের একটি সীমিত সেটে এবং সম্ভবত ব্যাপকভাবে পিছন-সঙ্গতির কারণে সমর্থিত। যদি কেবল ক্যানোনিকালাইজেশন উদ্দেশ্যে হয় তবে আপনি কোনওভাবেই '% 20' হিসাবে স্থানগুলি এনকোডিংয়ের চেয়ে ভাল; এবং এটি আইআইএস 7 ইস্যুটিকে সুন্দরভাবে সরিয়ে দেয় (যা এখনও অন্যান্য সিকোয়েন্সগুলির জন্য ক্রপ করতে পারে, যেমন% 25ab))

আমি ঠিক would যোগ করতে কিছু তথ্য Eamon Nerbonne এর উত্তর "এর সাথে সম্পর্কিত কি করতে আপনার প্রশ্নের (whys ব্যাখ্যা নয়) এর" অংশ।
আপনি খুব সহজেই কোনও নির্দিষ্ট অ্যাপ্লিকেশনটির সেটিংস পরিবর্তন করতে পারেন

1. অ্যাডমিন অধিকার সহ কনসোল খোলার (শুরু - সেমিডি - ডান ক্লিক করুন, প্রশাসক হিসাবে চালানো)

2. নিম্নলিখিতটি টাইপ করুন (এখান থেকে নেওয়া: http://blogs.iis.net/thomad/archive/2007/12/17/iis7-rejecting-urls-containing.aspx ):

   %windir%\system32\inetsrv\appcmd set config "YOURSITENAME" -section:system.webServer/security/requestfiltering -allowDoubleEscaping:true

   (আপনি বিকল্প যেমন পারেন YOURSITENAMEসঙ্গে Default Web Siteডিফল্ট ওয়েবসাইট থেকে এই নিয়ম আবেদন করার জন্য)

3. প্রবেশ করুন, প্রস্তুত।

একটি উদাহরণ:

1. প্রথমত আমার একই সমস্যা ছিল:
2. উপরে উল্লিখিত পাঠ্যটিতে টাইপ করা:
3. এখন এটি প্রত্যাশার মতো কাজ করে:

আপনি কি '/ অনুসন্ধান / এ / বি / সি' এর মতো ইউআরএল অনুসন্ধানের বিষয়ে চিন্তাভাবনা করেছেন?

আপনার মতো একটি রুট সেটআপ করা দরকার

search/{*path}

এবং তারপরে ক্রিয়াতে আপনার পথের স্ট্রিং থেকে অনুসন্ধান মানগুলি বের করুন।

এইচটিএইচএস
চার্লস

আমি আইআইএস 7.5 এর অধীনে একটি অ্যাপ্লিকেশনটিতে একটি সার্ভার.টান্সফরআরকেস্ট () করে চলেছি।

ফাইলের নামটি এনকোডিংয়ের ফলে ডাবল-পলায়ন সমস্যা দেখা দিয়েছে, তবে আমি যদি এটি এনকোড না করি তবে আমি "সম্ভাব্য বিপজ্জনক অনুরোধ.পথ" ত্রুটিতে চলে যাব ।

আমি সার্ভারে ট্রান্সফারআরকুইস্ট () পাস করে এমন ইউআরএলটিতে কোনও প্রোটোকল এমনকি একটি খালিও রেখে দেওয়া সমস্যা সমাধান করেছে।

কাজ করে না:

context.Server.TransferRequest("/application_name/folder/bar%20bar.jpg");

কাজ করে:

context.Server.TransferRequest("://folder/bar%20bar.jpg");