Получение отклоненного urlscan после входа в систему на поддомене

Question

Получение отклоненного urlscan после входа в систему на поддомене

Я вижу странную проблему на веб-сайте asp.net 2.0. Если я войду в поддомен, а затем зайду в основной домен, щелчок по любой ссылке на домашней странице приведет к ошибкам сканирования с отклоненными URL-адресами, а URL-адреса ссылок, показанные в веб-журнале, начинаются с тильды. В чем может быть эта проблема?

0

asp.net login subdomain urlscan

Источник

user3898156 09 ноя '14 в 02:27

1 ответ

Другие вопросы по тегам asp.net login subdomain urlscan

user3898156 09 ноя '14 в 06:59 2014-11-09 06:59 · Answer 1 · 2014-11-09 06:59

Это оказалось проблемой UrlScan, которая после недавнего обновления хоста начала отклонять любые запросы со специальными символами в них. Это происходило только при наличии файлов cookie, поскольку в значении некоторых файлов cookie содержались специальные символы.

Как только я нашел причину, я искал, чтобы включить специальный флаг в UrlScan, который позволяет специальные символы. Но я не смог сделать это успешно в web.config. Это должно быть сделано на уровне IIS для каждого веб-сайта. Я спорю, стоит ли делать это по соображениям безопасности. Идея новой функции UrlScan хороша для остановки атак.

Тем временем я добавил код инициализации, чтобы удалить старые куки и воссоздать их с зашифрованными значениями, чтобы специальные символы не встречались. Но даже код инициализации не мог работать в некоторых случаях, поэтому мне также пришлось добавить его на последней странице обработки ошибок для автоматического восстановления.