我想在IIS 6上使用UrlScan阻止用户代理。但是我无法在字符串中指定带分号的用户代理。我认为这是一个非常常见的情况,但我找不到任何关于如何在UrlScan.ini中转义分号的答案(其中分号用于评论)。 这是规则:
RuleList=DenyUserAgent
[DenyUserAgent]
DenyDataSection=AgentStrings
ScanHeaders=User-Agent
[AgentStrings]
Mozilla/5.0 (Windows NT 5.1; rv:6.0) Gecko/20100101 Firefox/10.0.2
我测试了它并阻止所有以“Mozilla / 5.0(Windows NT 5.1”)开头的用户代理,因为它将字符串的其余部分视为注释。
答案 0 :(得分:2)
您似乎需要对其进行网址转义,即%3B
有关示例,请参阅http://learn.iis.net/page.aspx/476/common-urlscan-scenarios/;他们有一个这样的例子就是在查询字符串中阻塞分号来阻止SQL注入攻击