URLScan应用一例

原文来自：http://learn.iis.net/page.aspx/476/common-urlscan-scenarios/

[Options]
RuleList=Foo

[Foo]
AppliesTo=.htm
DenyDataSection=Foo Strings
ScanUrl=0
ScanAllRaw=0
ScanQueryString=0
ScanHeaders=Foo-Header:
DenyUnescapedPercent=1

[Foo Strings]
--
<
>

1. 中括号把URLScan分割成一个一个的section，中括号内是该section的名字

2. URLScan实现成为IIS里面的IsapiFilter.

3. 在URLScan3.1里，可以使用Rule设置对特定的请求进行限定。比如上例设置的含义是：对于所有的.htm结尾的请求，如果HTTP request的Foo-Header里面包含了-- 或者 < 或者 >这样的字符串，那么该请求被URLScan拒绝。