IIS5安全策略设计概要(3)

另外，当使用"文档系统对象"组件打开或创建文档时，假如文档名取自用户的输入内容，那么很可能被攻击者利用去试图打开一个电脑的串口或打印机设备。为了防止这个问题发生，我们能够使用下面的Jscript代码除去非法文档名：

var strOut = strIn.replace(/(AUX|PRN|NUL|COM\d|LPT\d) \s*$/i,"");

从以上几个简单的实例，我们能够看到脚本引擎版本5处理字符串的强大功能。微软站点有关于脚本应用的周详文档和例程，地址如下：

文档：http://msdn.microsoft.com/scripting/default.htm

例程：http://msdn.microsoft.com/workshop/languages/clinic/scripting051099.asp

禁止父路径（Parent Paths）表达法

默认情况下，能够在函数中使用父路径".."。但是为了安全考虑，我们应该禁止这个功能，步骤如下：

在"Internet服务管理器"中右键点击要处理服务器的"默认Web站点"，从弹出菜单中选择"属性 "

点击"主目录"选项卡

点击"配置"

点击"应用程式选项"选项卡

去除"启用父路径"复选框

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有