我有一个使用 IIS 7.5 的站点,它也使用 ISAPI 重写。我想重定向一些将由我们的业务合作伙伴使用的桌面软件传递的一些 URL。基本上他们有一个可用于查找产品的应用程序,他们可以单击应用程序中的产品并被带到供应商的网站。
问题是该应用程序被许多客户使用并且无法更改以适应我,它使用“+”来消除某些 URL 参数中的空格。这会导致问题,因为我正在尝试使用 ISAPI 重写来根据部件号重写 URL。“+”号导致 IIS 返回“未找到”错误。
根据我读过的所有内容,这可以通过在 web.config 文件中允许双重转义来解决。每个人似乎都对允许这样做很随意,但我看到 MS 认为这是一个安全问题。
那么,允许双重转义究竟有什么危险呢?我们在此服务器上运行了一个 asp 经典站点,因此我不想冒险使用它来暴露站点或数据库。OTOH,如果我有信心允许它,那将是解决问题的一种非常简单的方法。