石家庄网站建设

今天360搜索引擎例行的网站安全检查，网站后台记录下了这一过程：

这里面我发现一些记录从后台无法打开的，例如这条：http://www.icvio.com/'))%20AND%202733=3566%16

原因很简单：这些是以制表符(tab)结尾的URL。这些URL是使用函数 htmlspecialchars() 处理过的,将里面的单引号和双引号使用 % 加两位16进制数字替换了，访问这些URL时，IIS会返回400 bad request的错误：

这个错误页面是由IIS的底层http.sys直接返回的，既不能自定义错误页面，也不能进行URL重写。而我们想要的结果是访问这样的URL时，能自动跳转至正确的URL（去掉结尾的制表符）。

于是想借助IIS URL Rewrite Module来实现，但现在请求直接被http.sys在底层拦截了，根本到达不了URL Rewrite Module。还好，可以通过注册表设置让http.sys不拦截这样的URL。

注册表设置方法如下：

regedit打开注册表编辑器，进入HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

添加键值：AllowRestrictedChars REG_DWORD 1 （默认为0，会拦截\x00-\x1F与\x7F-\x9F的字符，制表符的ASCII码是\x09）

重启http.sys与IIS，使注册表的设置生效：

• net stop http
  

• net start http

• iisreset

这样设置之后，URL中包含制表符的请求就能到达IIS URL Rewrite Module，然后用一条URL重写规则进行重定向跳转。结果却发现根本不起作用，没进行跳转，依然是400错误，只不过现在是由ASP.NET返回的。

HTTP Error 400.0 - Bad Request

ASP.NET detected invalid characters in the URL.

这估计是URL Rewrite Module的一个小bug。

后来采用了一个折衷的解决方法，不进行重定向跳转，只进行URL重写，这样虽然URL不对，但至少页面可以正常访问。

于是最终采用了下面的URL重写规则折衷地解决了问题：

<rule name="endwith_tab" stopProcessing="true">

    <match url="^([^.]+\.(?:html|php))[\x09]" />

    <conditions logicalGrouping="MatchAll" trackAllCaptures="false" />
      <action type="Rewrite" url="{R:1}" appendQueryString="false" />

</rule>

番外篇：关于htmlspecialchars函数的用法

这个方法比较简单，用到的地方也很多，基本信息可以查看一下php手册，这里我给大家贴出他的常用的一些值：

    $str = "Bill & 'Steve'";
    echo htmlspecialchars($str, ENT_COMPAT); // 只转换双引号echo "<br>";
    echo htmlspecialchars($str, ENT_QUOTES); // 转换双引号和单引号echo "<br>";
    echo htmlspecialchars($str, ENT_NOQUOTES); // 不转换任何引号