如何解决让 IIS 在不允许的动词上返回 405
PEN 测试发现 OPTIONS 动词从我的 (ASP.NET 4/MVC 5) 服务器返回数据。 根据许多来源,在 web.config 中,我已将 IIS 配置为使用
阻止此动词<system.webServer>
<security>
<requestfiltering>
<verbs>
<add verb="OPTIONS" allowed="false"/>
</verbs>
</requestfiltering>
</security>
</system.webServer>
这“有效”,但会返回 404(未找到)。进行 PEN 测试的安全团队表示,这还不够。 (我的客户雇佣了这个团队,真的希望我符合他们的要求)。
这也不是我所期望和想要的:就像说here“服务器知道请求方法但已被禁用且无法使用。”,因此它应该返回 405(方法不允许) .
但是,如 here 所述,当前响应是设计使然: “当 IIS 拒绝基于此功能的请求时,记录的错误代码为 404.6。”。 According to Wikipedia 他们称之为“动词被拒绝”。
我不明白这个。为什么 - 在这种情况下是合适的(甚至是标准化的?) - 此处没有给出“405”的响应?更重要的是:如何让 IIS 以 405 响应不允许的动词/请求方法?
解决方法
我想出了一个使用一些自定义错误处理的解决方法。 我的 web.config 现在有
<system.webServer>
<security>
<requestFiltering>
<verbs>
<add verb="OPTIONS" allowed="false"/>
</verbs>
</requestFiltering>
</security>
<httpErrors errorMode="Custom" existingResponse="Replace" >
<remove statusCode="404" subStatusCode="-1"/>
<error statusCode="404" subStatusCode="6"
path="/Error/MethodNotAllowed" responseMode="ExecuteURL"/>
<error statusCode="404" path="/Error/NotFound" responseMode="ExecuteURL"/>
[...etc]
</httpErrors>
</system.webServer>
我在 ErrorController.cs 中添加了一个方法
public class ErrorController : Controller
{
[...]
public ActionResult MethodNotAllowed()
{
return new HttpStatusCodeResult(HttpStatusCode.MethodNotAllowed);
}
}
这似乎“有效”。当我使用 postmaster 请求一个 OPTIONS 时,我得到 405,当我得到一个不存在的页面时,我仍然得到我的自定义 404 页面。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。