0
IIS 7.5를 사용하는 사이트에서 ISAPI 재 작성도 사용하고 있습니다. 비즈니스 파트너 중 하나 인 데스크톱 소프트웨어에서 전달할 일부 URL을 리디렉션하고 싶습니다. 기본적으로 그들은 제품을 검색하는 데 사용할 수있는 응용 프로그램을 가지고 있으며, 응용 프로그램에서 제품을 클릭하고 공급자의 웹 사이트로 이동할 수 있습니다.IIS에서 이중 이스케이프를 허용해도 안전합니다.
많은 고객이 사용하고 나를 수용하기 위해 변경할 수없는 문제는 "+"를 사용하여 일부 URL 매개 변수의 공백을 제거하는 것입니다. ISAPI 다시 쓰기를 사용하여 부품 번호를 기반으로 URL을 다시 쓰려고하기 때문에 문제가 발생합니다. "+"기호는 IIS가 "찾을 수 없음"오류를 반환하도록합니다.
내가 읽은 모든 내용에 따르면 web.config 파일에서 이중 이스케이프를 허용하여이 문제를 해결할 수 있습니다. 모든 사람들은 이것을 허용하는 것에 대해 꽤 무심한 것처럼 보이지만 MS가 보안 문제로 여기는 것을 안다.
그래서 이중 이스케이프가 허용되는 위험은 무엇입니까? 우리는이 서버에서 실행되는 asp 클래식 사이트를 가지고 있으므로이 사이트 또는 DB의 노출 위험을 감수하고 싶지 않습니다. OTOH 내가 그것을 허용한다고 확신 할 수 있다면 문제를 해결하는 정말 쉬운 방법이 될 것입니다.
감사합니다. 나는 시험해보고 그것을 시도 할 것입니다. 나는 당신의 소프트웨어 BTW를 좋아하고 당신이이 질문을 여기에서 찾은 것을 인상적이라고 생각한다. – valis