默認情況下，此選項設置為 0。如果將此選項設置為 0，則 URLScan 作為高優(yōu)先級篩選器運行，這表示它先于服務器上安裝的所有其他 Internet 服務器應用程序編程接口 (ISAPI) 篩選器執(zhí)行。如果將此選項設置為 1，則 URLScan 作為低優(yōu)先級篩選器運行，以便其他篩選器可以在 URLScan 進行任何分析之前修改 URL。FrontPage Server Extensions (FPSE) 要求將此選項設置為 1。 
? RejectResponseUrl=（默認情況下不指定）

此選項指定在 URLScan 禁止請求時運行的文件的虛擬路徑。這允許您自定義針對被禁止的請求發(fā)送給客戶機的響應。必須將 RejectResponseUrl 指定為相應文件的虛擬路徑，如 /Path/To/RejectResponseHandler.asp?？梢灾付?nbsp;URLScan 通常禁止的文件，如 Active Server Pages (ASP) 頁。還可以從該頁指定以下服務器變量： ? HTTP_URLSCAN_STATUS_HEADER：此變量指定請求被禁止的原因。 
? HTTP_URLSCAN_ORIGINAL_VERB：此變量指定被禁止的請求中的原始謂詞（例如 GET、POST、HEAD 或 DEBUG）。 
? HTTP_URLSCAN_ORIGINAL_URL：此變量指定被禁止的請求中的原始 URL。 
如果將 RejectResponseUrl 設置為特殊值 /~*，則 URLScan 使用“僅日志記錄”模式。這允許 IIS 為所有請求提供服務，但它會在 URLScan 日志中為所有通常被禁止的請求添加相應的項。這在需要測試 URLScan.ini 文件時很有用。

如果沒有指定 RejectResponseUrl 的值，則 URLScan 使用默認值 /<Rejected-By-UrlScan>。

 
? UseFastPathReject=0

默認情況下，此選項設置為 0。如果將此選項設置為 1，則 URLScan 忽略 RejectResponseUrl 設置并立即向瀏覽器返回 404 錯誤信息。這比處理 RejectResponseUrl 要快，但它允許的日志記錄選項沒有那么多。如果將此選項設置為 0，則 URLScan 使用 RejectResponseUrl 設置來處理請求。 

[AllowVerbs] 節(jié)和 [DenyVerbs] 節(jié)
[AllowVerbs] 節(jié)和 [DenyVerbs] 節(jié)定義 URLScan 允許的 HTTP 謂詞（又稱作方法）。常用的 HTTP 謂詞包括 GET、POST、HEAD 和 PUT。其他應用程序（如 FPSE 和 Web 分布式創(chuàng)作和版本控制 (WebDAV)）使用更多的謂詞。

[AllowVerbs] 節(jié)和 [DenyVerbs] 節(jié)的語法相同。它們由 HTTP 謂詞列表組成，每個謂詞占一行。

URLScan 根據(jù) [Options] 節(jié)中 UseAllowVerbs 選項的值來決定使用哪一節(jié)。默認情況下，此選項設置為 1。如果將 UseAllowVerbs 設置為 1，則 URLScan 僅允許那些使用 [AllowVerbs] 節(jié)中列出的謂詞的請求。不使用任何這些謂詞的請求將被拒絕。在這種情況下，[DenyVerbs] 節(jié)被忽略。

如果將 UseAllowVerbs 設置為 0，則 URLScan 拒絕那些使用 [DenyVerbs] 節(jié)中明確列出的謂詞的請求。允許任何使用未在此節(jié)中出現(xiàn)的謂詞的請求。在這種情況下，URLScan 忽略 [AllowVerbs] 節(jié)。


[DenyHeaders] 節(jié)
當客戶機向 Web 服務器請求頁面時，它通常會發(fā)送一些包含有關此請求的其他信息的 HTTP 標頭。常見的 HTTP 標頭包括： ? Host:

此標頭包含 Web 服務器的名稱。 
? Accept:

此標頭定義客戶機可以處理的文件類型。 
? User-Agent:

此標頭包含請求頁面的瀏覽器的名稱。 
? Authorization:

此標頭定義客戶機支持的身份驗證方法。 
客戶機可能會向服務器發(fā)送其他標頭以指定其他信息。

在 [DenyHeaders] 節(jié)中，您定義 URLScan 將拒絕的 HTTP 標頭。如果 URLScan 收到的請求中包含此節(jié)中列出的任何標頭，它將拒絕該請求。此節(jié)由 HTTP 標頭列表組成，每個標頭占一行。標頭名后面必須跟一個冒號 (:)（例如 Header-Name:）。


[AllowExtensions] 節(jié)和 [DenyExtensions] 節(jié)
大多數(shù)文件都有一個標識其文件類型的文件擴展名。例如，Word 文檔的文件名一般以 .doc 結束，HTML 文件名一般以 .htm 或 .html 結束，純文本文件名一般以 .txt 結束。[AllowExtensions] 節(jié)和 [DenyExtensions] 節(jié)允許您定義 URLScan 將禁止的擴展名。例如，您可以配置 URLScan 以拒絕對 .exe 文件的請求，防止 Web 用戶在您的系統(tǒng)上執(zhí)行應用程序。

[AllowExtensions] 節(jié)和 [DenyExtensions] 節(jié)的語法相同。它們由文件擴展名列表組成，每個擴展名占一行。擴展名以句點 (.) 開頭（例如 .ext）。

URLScan 根據(jù) [Options] 節(jié)中 UseAllowExtensions 的值來決定使用哪一節(jié)。默認情況下，此選項設置為 0。如果將 UseAllowExtensions 設置為 0，則 URLScan 僅拒絕對 [DenyExtensions] 節(jié)中列出的文件擴展名的請求。允許此節(jié)中未列出的任何文件擴展名。[AllowExtensions] 節(jié)被忽略。

如果將 UseAllowExtensions 設置為 1，則 URLScan 拒絕對 [AllowExtensions] 節(jié)中未明確列出的任何文件擴展名的請求。僅允許對此節(jié)中列出的文件擴展名的請求。[DenyExtensions] 節(jié)被忽略。

有關如何配置 URLScan 以允許對沒有擴展名的文件的請求的其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 
312376 (http://support.microsoft.com/kb/312376/) 如何配置 URLScan 以在 IIS 中允許使用空擴展名的請求 
[DenyUrlSequences] 節(jié)
可以配置 URLScan 以禁止那些 URL 中包含某些字符序列的請求。例如，可以禁止那些包含兩個連續(xù)句點 (..) 的請求，利用目錄遍歷漏洞的攻擊中經常采用這種手段。要指定一個想要禁止的字符序列，請將此序列單獨放在 [DenyUrlSequences] 節(jié)中的一行上。

請注意，添加字符序列可能會對 Microsoft Exchange 的 Outlook Web Access (OWA) 產生負面影響。當您從 OWA 打開一個郵件時，該郵件的主題行包含在服務器所請求的 URL 中。由于 URLScan.ini 文件禁止任何包含百分號 (%) 和連字符 (&) 的請求，因此，當用戶嘗試打開主題行為“Sales increase by 100%”或“Bob & Sue are coming to town”的郵件時，會收到 404 錯誤信息。要解決此問題，可以從 [DenyUrlSequences] 節(jié)中刪除這些序列。請注意，這樣做會降低安全性，因為它有可能允許危險的請求到達服務器。 

有關其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 
325965 (http://support.microsoft.com/kb/325965/) URLScan 工具可能會導致 Outlook Web Access 中出現(xiàn)問題 
回到頂端

配置 URLScan 用于依賴于 IIS 的應用程序
Exchange、FPSE 和 Microsoft Visual Studio .NET 這類應用程序的正常運行依賴于 IIS。如果沒有正確配置 URLScan，這些應用程序可能會停止正常運行。 

有關如何配置 URLScan 用于這些應用程序的其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 
309508 (http://support.microsoft.com/kb/309508/) Exchange 環(huán)境中的 IIS 鎖定和 URLscan 配置 
309394 (http://support.microsoft.com/kb/309394/) 如何協(xié)同使用 URLScan 和 FrontPage 2000 
318290 (http://support.microsoft.com/kb/318290/) 如何協(xié)同使用 URLScan 和 FrontPage 2002 
310588 (http://support.microsoft.com/kb/310588/) PRB：安全工具包中止 Visual Studio .NET 中的 ASP.NET 調試 
回到頂端

參考
有關其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 
325864 (http://support.microsoft.com/kb/325864/) 如何安裝和使用 IIS 鎖定向導 

最新評論