如何修复 IIS 上的 HTTP 请求走私

Question

在我的 ASP.NET MVC 应用程序中，我想解决 HTTP 请求走私漏洞问题。

我认为如果我阻止具有“传输编码：分块”标头的请求就足够了。 在 IIS 管理菜单上，我为此添加了新的请求过滤规则。 然而，这似乎并没有解决。

我编写了很少的 .NET 代码来测试 IIS 在发送分块内容时是否生成 404 错误。 当我将传输编码标头 1 次添加到我的测试客户端代码中时，如下所示，我没有收到 404，我收到了 200。

httpRequest.Headers.Add("Transfer-Encoding", "chunked");

有趣的是，我将标题添加了 2 次（我的意思是复制它）作为

httpRequest.Headers.Add("Transfer-Encoding", "chunked");
httpRequest.Headers.Add("Transfer-Encoding", "chunked");

过滤规则适用，我按预期收到 404。

我该如何解决？

Answer 1

几个月后，微软添加了一个补丁，您可以在其中禁用使用注册表项的请求走私。

1. 单击开始，单击运行，在打开框中键入Regedit ，然后单击确定。
2. 找到并单击以下注册表子项： HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\HTTP\\Parameters
3. 将DWORD类型值DisableRequestSmuggling设置为以下之一：
   • 设置为 0 以禁用过滤器
   • 设置为 1 以启用过滤器
4. 退出注册表编辑器。
5. 重新启动计算机。