名稱允許雙重逸出
GPOIIS
類別要求篩選與其他限制模組
描述▪ 這項原則設定決定是否允許 URL 雙重逸出,即是否允許 URL 請求使用雙重編碼技術
▪ 有些網站攻擊可以將 URL 請求利用雙重編碼技術 (例如將 ”../” 雙重編碼成為 "%252E%252E%252F"),以繞過安全防護機制或造成應用程式非預期的反應
▪ 設定為不允許雙重逸出時,IIS 會將 URL 請求利用正規化(Normalize) 加以還原其原字元,並執行兩次,如第一次與第二次的結果不同,該請求就會被拒絕,並錄 404.11 狀態在日誌檔中
▪ 預設值為不允許雙重逸出
設定設定路徑: IIS 管理員\伺服器\IIS\要求篩選\動作\開啟功能\動作\編輯功能設定\一般\不勾選「允許雙重逸出」
GCB 設定值: 不允許