正确处理带有url（/％）百分号的IIS请求

我正在寻找任何一种解决方案来正确获取IIS请求，例如/programming//%和http://bing.com/%，以不显示400 Bad Request页面，而是显示自定义错误页面类似于http://google.com/%和http://facebook.com/%的用法（显然，这些示例不在IIS上）。

我相信我已经尝试根据http://support.microsoft.com/kb/820129设置所有适用的http.sys注册表设置（AllowRestrictedChars，PercentUAllowed），但这没有帮助。设置AllowRestrictedChars和自定义的400页具有固定的URL，例如/programming//%12，但没有/％。

这在IIS内核级别被阻止。作为测试，我拔出了IIS中的每个模块，以便它甚至没有静态页面处理程序，并且仍然显示400错误消息。

我认为IIS不可能解决这个问题。您提到的注册表设置用于其他类型的受限字符。我还没有看到改变功能的杠杆。

您的目标是避免这种情况？它可以更广泛地打开您的攻击面，而且我无法想象由于阻止不完整的URL转义序列而导致合法访问者迷失了。

Update2： 这是这方面的三个重要链接。IIS小组的Nazim Lala和Wade Hilmo都在博客上写了这个，因为围绕您的问题进行了讨论。此外，Scott Hanselman在.NET中的querystring部分上也有一篇很不错的文章：

• 在IIS中使用特殊字符 -Nazim Lala
• IIS如何阻止URL中的字符 -Wade Hilmo
• 古怪的实验-Scott Hanselman

更新： 我与IIS团队的成员核对过，以获得权威的答案。他提到根据RFC 1738（http://www.ietf.org/rfc/rfc1738.txt），％被认为是不安全的字符。

这是相关的文本：

不安全：

出于多种原因，字符可能是不安全的。空格字符是不安全的，因为在对URL进行转录或排版或对文字处理程序进行处理时，可能会消失大量空格并且可能会引入无关紧要的空格。字符“ <”和“>”是不安全的，因为它们被用作自由文本中URL的分隔符。在某些系统中，使用引号（“”“）来分隔URL。字符”＃“是不安全的，并且应始终进行编码，因为在万维网和其他系统中，该字符用于分隔片段/锚定中的URL。标识符可能会遵循它。 因为它用于其他字符的编码字符“％”是不安全的。 其他字符是不安全的，因为已知网关和其他传输代理有时会修改此类字符。这些字符是“ {”，“}”，“ |”，“ \”，“ ^”，“〜”，“ [”，“]”和“`”。

所有不安全字符必须始终在URL中编码。例如，即使在通常不处理片段或锚标识符的系统中，字符“＃”也必须在URL中进行编码，因此，如果将URL复制到另一个使用它们的系统中，则无需更改URL编码。

因此，IIS在核心级别上主动阻止了此行为，这是一种主动安全措施，可最大程度地减少攻击面。

我可以想到3种可能的方式

1. 将IIS更改为指向自定义页面，以解决400个错误

2. 如果这对于IIS中的特定网站是唯一的，则可以在web.config中执行以下操作：

   <customErrors defaultRedirect =“ ErrorPage.aspx” mode =“ On”>
   <错误statusCode =“ 400” redirect =“ myCustom400Error.aspx” />
   </ customErrors>

3. 编写一个httpModule来检查传入的URL并处理它们

解决此问题的唯一方法听起来像是在IIS内核之前检查URL。

您需要通过脚本发送动态生成的链接以检查它们，然后才能将最终用户转发到该URL。

除此以外，您知道这是IIS无法按您希望的方式处理它的唯一情况。因此，通过消除的过程，如果您有未处理的请求，则知道是什么原因造成的。

也许在自定义400页中检查引荐来源网址将有助于缩小流量来源？

IIS论坛上的此帖子表明HTTP 400（错误请求）已被http.sys阻止，并且未访问与IIS匹配的IIS，该链接与@Scott Forsyth-MVP包含在其原始答案中的链接相匹配。

您可以在c：\ Windows \ System32 \ LogFiles \ HTTPERR \下看到这些请求的日志

我不知道您是否可以针对此类错误配置发送给用户的响应页面，但是由于即使Bing也遭受此问题的困扰，我怀疑这是不可能的，或者可能需要一些可怕的系统黑客。