名稱 | 允許雙重逸出 |
GPO | IIS |
類別 | 要求篩選與其他限制模組 |
描述 | ▪ 這項原則設定決定是否允許 URL 雙重逸出,即是否允許 URL 請求使用雙重編碼技術 ▪ 有些網站攻擊可以將 URL 請求利用雙重編碼技術 (例如將 ”../” 雙重編碼成為 "%252E%252E%252F"),以繞過安全防護機制或造成應用程式非預期的反應 ▪ 設定為不允許雙重逸出時,IIS 會將 URL 請求利用正規化(Normalize) 加以還原其原字元,並執行兩次,如第一次與第二次的結果不同,該請求就會被拒絕,並錄 404.11 狀態在日誌檔中 ▪ 預設值為不允許雙重逸出 |
設定 | 設定路徑: IIS 管理員\伺服器\IIS\要求篩選\動作\開啟功能\動作\編輯功能設定\一般\不勾選「允許雙重逸出」 GCB 設定值: 不允許 |