Опасно ли включение двойного побега?

У меня есть приложение ASP.NET MVC с маршрутом, который позволяет искать вещи через / search / <searchterm>.

Когда я предоставляю "search / abc", он работает хорошо, но когда я предоставляю "/ search / a + b + c" (правильно закодированный URL), IIS7 отклоняет запрос с ошибкой HTTP 404.11 ( модуль фильтрации запросов настроен на запрет запрос, содержащий двойную escape-последовательность ). Прежде всего, почему он это делает? Кажется, что только выдает ошибку, если она является частью URL, но не как часть строки запроса (/ передача? Q = a + b + c работает нормально).

Теперь я мог включить двойные запросы на экранирование в разделе безопасности моего web.config, но я не решаюсь это сделать, так как не понимаю последствий, а также почему сервер не отклонит запрос «a + b + c» как часть URL, но принять как часть строки запроса.

Может кто-нибудь объяснить и дать совет, что делать?

Изменить: Добавлен акцент на соответствующие разделы.

В основном: IIS чрезмерно параноидален. Вы можете безопасно отключить эту проверку, если вы ничего не делаете особенно неразумно с декодированными URI-данными (например, генерируете локальные URI файловой системы с помощью конкатенации строк).

Чтобы отключить проверку, сделайте следующее ( отсюда ): (см. Мой комментарий ниже, что влечет за собой двойное экранирование).

<system.webServer>
    <security>
        <requestFiltering allowDoubleEscaping="true"/>
    </security>
</system.webServer>

Если символ плюса является допустимым символом в поисковом вводе, вам нужно включить «allowDoubleEscaping», чтобы IIS мог обрабатывать такой ввод из пути URI.

Наконец, очень простой, но ограниченный обходной путь - просто избежать «+» и использовать вместо него «% 20». В любом случае, использование символа «+» для кодирования пробела является недопустимым кодированием URL , но характерно для ограниченного набора протоколов и, вероятно, широко поддерживается в целях обратной совместимости. Если только для целей канонизации, вам все равно лучше кодировать пробелы как «% 20»; и это приятно обходит проблему IIS7 (которая все еще может возникать для других последовательностей, таких как% 25ab.)

Я просто хотел бы добавить некоторую информацию к ответу Иамона Нербонна, касающуюся части « что делать » в вашем вопросе (без объяснения причин).
Вы также можете легко изменить настройки конкретного приложения с

1. открытие консоли с правами администратора (Пуск - cmd - щелчок правой кнопкой мыши, Запуск от имени администратора)

2. введите следующее (взято здесь: http://blogs.iis.net/thomad/archive/2007/12/17/iis7-rejecting-urls-conisting.aspx ):

   %windir%\system32\inetsrv\appcmd set config "YOURSITENAME" -section:system.webServer/security/requestfiltering -allowDoubleEscaping:true

   (например , вы можете заменить YOURSITENAMEс Default Web Siteдля применения этого правила сайта по умолчанию)

3. Войдите, готово.

Пример:

1. во первых у меня была такая же проблема:
2. Набрав в тексте, упомянутом выше:
3. Теперь все работает как положено:

Задумывались ли вы о поисковом URL-адресе, например «/ search / a / b / c»?

Вам нужно настроить маршрут как

search/{*path}

А затем извлеките значения поиска из строки пути в действии.

HTHs
Charles

Я столкнулся с этим в IIS 7.5, выполняя Server.TransferRequest () в приложении.

Кодирование имени файла вызвало проблему двойного выхода, но если я не закодировал его, я столкнулся бы с ошибкой «потенциально опасный Request.Path» .

Помещение любого протокола, даже пустого, в URL, который я передаю Server.TranferRequest (), устранил проблему.

Не работает:

context.Server.TransferRequest("/application_name/folder/bar%20bar.jpg");

Работает:

context.Server.TransferRequest("://folder/bar%20bar.jpg");