登录子域后被urlscan拒绝

Question

我在asp.net 2.0网站上看到了一个奇怪的问题。如果我登录到一个子域，然后进入主域，单击主页上的任何链接都会导致url扫描拒绝错误，web日志中显示的链接url以代字号开头。这个问题会是什么呢？

Answer 1

这被证明是一个UrlScan问题，在主机最近的一次更新之后，开始拒绝任何带有特殊字符的查询。仅当存在cookies时才会发生此问题，因为某些cookies中的值具有特殊字符。

找到原因后，我希望打开UrlScan中允许特殊字符的特殊标志。但我无法在web.config中成功地完成它。它必须在IIS级别为每个网站完成。出于安全考虑，我正在考虑是否要这样做。新的UrlScan功能的想法很好地阻止了攻击。

同时，我添加了一些初始化代码来删除旧的cookie，并使用加密值重新创建它们，这样就不会遇到特殊字符。但在某些情况下，即使是初始化代码也无法运行，因此我还必须将其添加到最后的错误处理页面中，以实现自动恢复。