そのため、ユーザーがパーセント記号を含むファイルをダウンロードできないというばかげた問題に遭遇しました。これは IIS6/Win2k3 ボックスです。最終的には URLScan になりました。urlscan.ini で 2 つの設定を解除する必要がありました。
1) VerifyNormalization を 0 (無効) に設定します
2) 「DenyUrlSequences」セクションからパーセント記号を削除します
iisreset を実行すると、問題が解決します。しかし、大きな問題は、これがどの程度のセキュリティ リスクになるのかということです。
パーセント記号は URL エンコーディングで使用され、引用符などの厄介な文字を表現するために使用される可能性があります。この拒否は、NormalizeUrlBeforeScan がオンまたはオフになっていることが原因である可能性があります。この設定を反転してみます。
UrlScan はあまり優れた WAF ではなく、他の誤検出/誤検出の問題に遭遇する可能性があります。Mod_Security はより成熟しており、IIS で使用できますが、リバース プロキシを実行する必要があります。これは正直言って少し混乱していますが、私見では UrlScan よりも混乱しています。
予備のゴールド ブリックがある場合は、 Cisco ACEを購入する必要があります。これは優れた WAF です。
URI 文字列はコード インジェクションの媒体として使用される可能性があるため、フィルタリングされていない URI 文字エンティティの処理には注意してください。