Request Limits <requestLimits>

Panoramica

L'elemento <requestLimits> specifica i limiti per le richieste HTTP elaborate dal server Web. Questi limiti includono le dimensioni massime di una richiesta, la lunghezza massima dell'URL e la lunghezza massima per una stringa di query. Inoltre, l'elemento <requestLimits> può contenere una raccolta di limiti di intestazione HTTP definiti dall'utente nell'elemento <headerLimits> , che consente di definire impostazioni personalizzate nelle intestazioni HTTP.

Nota

Quando il filtro delle richieste blocca una richiesta HTTP perché una richiesta HTTP supera i limiti delle richieste, IIS 7 restituirà un errore HTTP 404 al client e registra uno degli stati HTTP seguenti con uno stato secondario univoco che identifica il motivo per cui la richiesta è stata negata:

Stato secondario HTTP	Descrizione
404.14	URL troppo lungo
404.15	Stringa di query troppo lunga
413.1	Lunghezza contenuto troppo grande

Questi stati secondari consentono agli amministratori Web di analizzare i log IIS e identificare potenziali minacce.

Inoltre, quando una richiesta HTTP supera i limiti di intestazione definiti nell'elemento <headerLimits> , IIS 7 restituirà un errore HTTP 404 al client con lo stato secondario seguente:

Stato secondario HTTP	Descrizione
431	Intestazione richiesta troppo lunga

Compatibilità

Versione	Note
IIS 10.0	L'elemento <requestLimits> non è stato modificato in IIS 10.0.
IIS 8,5	L'elemento <requestLimits> non è stato modificato in IIS 8.5.
IIS 8,0	L'elemento <requestLimits> non è stato modificato in IIS 8.0.
IIS 7,5	L'elemento <requestLimits> non è stato modificato in IIS 7.5.
IIS 7.0	L'elemento <requestLimits><requestFiltering> della raccolta è stato introdotto in IIS 7.0.
IIS 6.0	L'elemento <requestLimits> sostituisce le funzionalità URLScan [RequestLimits] di IIS 6.0.

Installazione

L'installazione predefinita di IIS 7 e versioni successive include il servizio ruolo o la funzionalità Filtro richieste. Se la funzionalità o il servizio ruolo Filtro richieste viene disinstallata, è possibile reinstallarla seguendo questa procedura.

Windows Server 2012 o Windows Server 2012 R2

1. Sulla barra delle applicazioni fare clic su Server Manager.
2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.
3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.
4. Nella pagina Ruoli server espandere Server Web (IIS), server Web, serverWeb, sicurezzae quindi selezionare Filtro richieste. Fare clic su Avanti.
   .
5. Nella pagina Selezione funzionalità fare clic su Avanti.
6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

1. Nella schermata Start spostare il puntatore fino all'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi scegliere Pannello di controllo.
2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
3. Espandere Internet Information Services, servizi Web a livello globale, sicurezza, quindi selezionare Filtro richieste.
   
4. Fare clic su OK.
5. Fare clic su Close.

Windows Server 2008 o Windows Server 2008 R2

1. Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Server Manager.
2. Nel riquadro della gerarchia Server Manager espandere Ruoli, quindi fare clic su Server Web (IIS).
3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.
4. Nella pagina Selezione servizi ruolo della Procedura guidata Aggiungi servizi ruolo selezionare Filtro richieste e quindi fare clic su Avanti.
   
5. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
6. Nella pagina Risultati fare clic su Chiudi.

Windows Vista o Windows 7

1. Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
3. Espandere Internet Information Services, quindi Servizi Web a livello mondiale, quindi Sicurezza.
4. Selezionare Filtro richieste e quindi fare clic su OK.
   

Procedure

Nota per gli utenti di IIS 7.0: alcuni passaggi di questa sezione potrebbero richiedere l'installazione del Microsoft Administration Pack per IIS 7.0, che include un'interfaccia utente per il filtro delle richieste. Per installare Microsoft Administration Pack per IIS 7.0, vedere l'URL seguente:

• https://www.iis.net/expand/AdministrationPack

Come modificare le impostazioni delle funzionalità di filtro delle richieste e i limiti delle richieste

1. Aprire Gestione Internet Information Services (IIS):

   • Se si usa Windows Server 2012 o Windows Server 2012 R2:

     • Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).

   • Se si usa Windows 8 o Windows 8.1:

     • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
     • Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

   • Se si usa Windows Server 2008 o Windows Server 2008 R2:

     • Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).

   • Se si usa Windows Vista o Windows 7:

     • Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
     • Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

2. Nel riquadro Connessioni passare alla connessione, al sito, all'applicazione o alla directory per cui si desidera modificare le impostazioni di filtro delle richieste.

3. Nel riquadro Home fare doppio clic su Filtro richieste.
   

4. Fare clic su Modifica impostazioni funzionalità nel riquadro Azioni .
   

5. Specificare le opzioni e quindi fare clic su OK.
   Ad esempio, è possibile apportare le modifiche seguenti:

   • Modificare la lunghezza massima dell'URL in 2 KB specificando 2048.
   • Modificare la lunghezza massima della stringa di query in 1 KB specificando 1024.
   • Negare l'accesso ai verbi HTTP non elencati deselezionando la casella di controllo Consenti verbi non elencati .

---

Come aggiungere limiti per le intestazioni HTTP

1. Aprire Gestione Internet Information Services (IIS):

   • Se si usa Windows Server 2012 o Windows Server 2012 R2:

     • Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).

   • Se si usa Windows 8 o Windows 8.1:

     • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
     • Fare clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

   • Se si usa Windows Server 2008 o Windows Server 2008 R2:

     • Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Internet Information Services (IIS).

   • Se si usa Windows Vista o Windows 7:

     • Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.
     • Fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

2. Nel riquadro Connessioni passare alla connessione, al sito, all'applicazione o alla directory per cui si desidera modificare le impostazioni di filtro delle richieste.

3. Nel riquadro Home fare doppio clic su Filtro richieste.
   

4. Nel riquadro Filtro richieste fare clic sulla scheda Intestazioni e quindi fare clic su Aggiungi intestazione nel riquadro Azioni .
   

5. Nella finestra di dialogo Aggiungi intestazione immettere l'intestazione HTTP e le dimensioni massime desiderate per il limite di intestazione e quindi fare clic su OK.
   

   Ad esempio, l'intestazione "Content-type" contiene il tipo MIME per una richiesta. Se si specifica un valore pari a 100, la lunghezza dell'intestazione "Tipo di contenuto" verrà limitazione a 100 byte.

Configurazione

Attributi

Attributo	Descrizione
maxAllowedContentLength	Attributo uint facoltativo. Specifica la lunghezza massima del contenuto in una richiesta, in byte. Il valore predefinito è 30000000, che è circa 28,6 MB.
maxQueryString	Attributo uint facoltativo. Specifica la lunghezza massima della stringa di query, in byte. Il valore predefinito è 2048.
maxUrl	Attributo uint facoltativo. Specifica la lunghezza massima dell'URL, in byte. Il valore predefinito è 4096.

Elementi figlio

Elemento	Descrizione
headerlimits	Elemento facoltativo. Specifica i limiti di dimensione per le intestazioni HTML.

Esempio di configurazione

Nell'esempio seguente Web.config file verrà configurato IIS per negare l'accesso alle richieste HTTP in cui la lunghezza dell'intestazione "Tipo di contenuto" è maggiore di 100 byte.

<configuration>
   <system.webServer>
      <security>
         <requestFiltering>
            <requestLimits>
               <headerLimits>
                  <add header="Content-type" sizeLimit="100" />
               </headerLimits>
            </requestLimits>
         </requestFiltering>
      </security>
   </system.webServer>
</configuration>

Codice di esempio

Gli esempi di codice seguenti configurano IIS per negare l'accesso alle richieste HTTP in cui la lunghezza dell'intestazione "Tipo di contenuto" è maggiore di 100 byte.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"requestLimits.headerLimits.[header='Content-type',sizeLimit='100']"

PowerShell

$requestLimits = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigElement -ChildElementName 'requestLimits'
$headerLimits = Get-IISConfigCollection -ConfigElement $requestLimits -CollectionName 'headerLimits'
New-IISConfigCollectionElement -ConfigCollection $headerLimits -ConfigAttribute @{ 'header'='Content-Type'; 'sizeLimit'=100 }

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Default Web Site");
         ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");
         ConfigurationElement requestLimitsElement = requestFilteringSection.GetChildElement("requestLimits");
         ConfigurationElementCollection headerLimitsCollection = requestLimitsElement.GetCollection("headerLimits");

         ConfigurationElement addElement = headerLimitsCollection.CreateElement("add");
         addElement["header"] = @"Content-type";
         addElement["sizeLimit"] = 100;
         headerLimitsCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
      Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
      Dim requestLimitsElement As ConfigurationElement = requestFilteringSection.GetChildElement("requestLimits")
      Dim headerLimitsCollection As ConfigurationElementCollection = requestLimitsElement.GetCollection("headerLimits")

      Dim addElement As ConfigurationElement = headerLimitsCollection.CreateElement("add")
      addElement("header") = "Content-type"
      addElement("sizeLimit") = 100
      headerLimitsCollection.Add(addElement)

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");

var requestLimitsElement = requestFilteringSection.ChildElements.Item("requestLimits");
var headerLimitsCollection = requestLimitsElement.ChildElements.Item("headerLimits").Collection;

var addElement = headerLimitsCollection.CreateNewElement("add");
addElement.Properties.Item("header").Value = "Content-type";
addElement.Properties.Item("sizeLimit").Value = 100;
headerLimitsCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set requestLimitsElement = requestFilteringSection.ChildElements.Item("requestLimits")
Set headerLimitsCollection = requestLimitsElement.ChildElements.Item("headerLimits").Collection

Set addElement = headerLimitsCollection.CreateNewElement("add")
addElement.Properties.Item("header").Value = "Content-type"
addElement.Properties.Item("sizeLimit").Value = 100
headerLimitsCollection.AddElement(addElement)

adminManager.CommitChanges()