<動詞動詞>
概觀
元素 <verbs> 會指定允許或拒絕哪些 HTTP 動詞,以限制 Web 服務器所允許的 HTTP 要求類型。
注意
當要求篩選因為拒絕 HTTP 動詞而封鎖 HTTP 要求時,IIS 7 會將 HTTP 404 錯誤傳回給用戶端,並使用唯一的子狀態來記錄下列 HTTP 狀態,以識別拒絕要求的原因:
| HTTP 子狀態 | 描述 |
|---|---|
404.6 |
動詞拒絕 |
此子狀態可讓 Web 系統管理員分析其 IIS 記錄,並識別潛在的威脅。
相容性
| 版本 | 備註 |
|---|---|
| IIS 10.0 | 在 <verbs> IIS 10.0 中未修改專案。 |
| IIS 8.5 | 未 <verbs> 在 IIS 8.5 中修改專案。 |
| IIS 8.0 | 在 IIS 8.0 中未修改專案 <verbs> 。 |
| IIS 7.5 | 未 <verbs> 在 IIS 7.5 中修改專案。 |
| IIS 7.0 | <verbs>集合的 <requestFiltering> 元素是在 IIS 7.0 中引進的。 |
| IIS 6.0 | 元素 <verbs> 會取代 IIS 6.0 UrlScan [AllowVerbs] 和 [DenyVerbs] 功能。 |
安裝程式
IIS 7 和更新版本的預設安裝包含要求篩選角色服務或功能。 如果卸載要求篩選角色服務或功能,您可以使用下列步驟重新安裝它。
Windows Server 2012 或 Windows Server 2012 R2
- 在工作列上,按一下 [伺服器管理員]。
- 在伺服器管理員中,按一下 [管理]功能表,然後按一下 [新增角色和功能]。
- 在 [ 新增角色和功能 精靈] 中,按 [下一步]。 選取安裝類型,然後按 [ 下一步]。 選取目的地伺服器,然後按 [ 下一步]。
- 在 [ 伺服器角色] 頁面上,依序展開 [Web 服務器] ([IIS) ]、[ 網頁伺服器]、[ 安全性],然後選取 [ 要求篩選]。 按一下 [下一步] 。
![此螢幕擷取畫面顯示 [網頁伺服器與安全性] 窗格已展開,並醒目提示 [要求篩選]。](index/_static/image2.png)
. - 在 [選取功能] 頁面上,按 [下一步]。
- 在 [確認安裝選項] 頁面上,按一下 [安裝]。
- 在 [結果] 頁面上,按一下 [關閉]。
![此螢幕擷取畫面顯示 [網頁伺服器與安全性] 窗格已展開,並醒目提示 [要求篩選]。](index/_static/image1.png)
Windows 8 或Windows 8.1
- 在 [開始] 畫面上,將指標全部移至左下角,以滑鼠右鍵按一下 [開始] 按鈕,然後按一下[主控台]。
- 在主控台中,按一下 [程式和功能],然後按一下 [開啟或關閉 Windows 功能]。
- 展開 [網際網路資訊服務]、[ 萬維網服務]、[ 安全性],然後選取 [ 要求篩選]。
![[萬維網服務和安全性] 窗格的螢幕擷取畫面,其中已醒目提示 [要求篩選]。](index/_static/image4.png)
- 按一下 [確定]。
- 按一下 [關閉] 。
![[萬維網服務和安全性] 窗格的螢幕擷取畫面,其中已醒目提示 [要求篩選]。](index/_static/image3.png)
Windows Server 2008 或 Windows Server 2008 R2
- 在工作列上,按一下 [開始],指向 [系統管理工具],然後按一下[伺服器管理員]。
- 在[伺服器管理員階層] 窗格中,展開 [角色],然後按一下 [Web 服務器] (IIS) 。
- 在 [Web 服務器 (IIS) ] 窗格中,捲動至 [ 角色服務 ] 區段,然後按一下 [ 新增角色服務]。
- 在 [新增角色服務精靈] 的 [選取角色服務] 頁面上,選取 [要求篩選],然後按 [下一步]。
![螢幕擷取畫面顯示 [選取角色服務] 頁面中展開 [安全性] 窗格,並已選取 [要求篩選]。](index/_static/image6.png)
- 在 [確認安裝選項] 頁面上,按一下 [安裝]。
- 在 [結果] 頁面上,按一下 [關閉]。
![螢幕擷取畫面顯示 [選取角色服務] 頁面中展開 [安全性] 窗格,並已選取 [要求篩選]。](index/_static/image5.png)
Windows Vista 或 Windows 7
- 在工作列上,按一下 [開始],然後按一下[主控台]。
- 在主控台中,按一下 [程式和功能],然後按一下 [開啟或關閉 Windows 功能]。
- 展開 [Internet Information Services],然後展開 [萬維網服務],然後展開 [安全性]。
- 選取 [要求篩選],然後按一下 [ 確定]。
![已展開 Internet Information Services 和 World Wide Web 服務節點的螢幕擷取畫面。已選取 [要求篩選]。](index/_static/image8.png)
![已展開 Internet Information Services 和 World Wide Web 服務節點的螢幕擷取畫面。已選取 [要求篩選]。](index/_static/image7.png)
作法
IIS 7.0 使用者的注意事項:本節中的某些步驟可能需要您安裝適用于 IIS 7.0 的 Microsoft 系統管理元件,其中包含要求篩選的使用者介面。 若要安裝適用于 IIS 7.0 的 Microsoft 系統管理元件,請參閱下列 URL:
如何拒絕 HTTP 動詞
(IIS) 管理員開啟 Internet Information Services:
如果您使用 Windows Server 2012 或 Windows Server 2012 R2:
- 在工作列上,依序按一下 [伺服器管理員]、[工具],然後按一下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows 8 或 Windows 8.1:
- 按住Windows鍵,按字母X,然後按一下[主控台]。
- 按一下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows Server 2008 或 Windows Server 2008 R2:
- 在工作列上,按一下 [ 開始],指向 [ 系統管理工具],然後按一下 [ Internet Information Services (IIS) 管理員]。
如果您使用 Windows Vista 或 Windows 7:
- 在工作列上,按一下 [開始],然後按一下[主控台]。
- 按兩下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
在 [ 連線 ] 窗格中,移至您要修改要求篩選設定的連線、月臺、應用程式或目錄。
在 [ 首頁] 窗格中,按兩下 [ 要求篩選]。
![[預設網站首頁] 窗格的螢幕擷取畫面,其中顯示已選取 [要求篩選]。](index/_static/image10.png)
在 [要求篩選]窗格中,按一下 [HTTP 動詞] 索引標籤,然後按一下 [動作] 窗格中的[拒絕動詞...]。
![此螢幕擷取畫面顯示 [要求篩選] 窗格,其中 [動作] 窗格中的 [H T T P 動詞] 索引標籤和 [拒絕動詞] 選項。](index/_static/image12.png)
在 [ 拒絕動詞 ] 對話方塊中,輸入您想要封鎖的 HTTP 動詞,然後按一下 [ 確定]。
![[拒絕動詞] 對話方塊的螢幕擷取畫面,其中顯示 H T T P 動詞方塊。](index/_static/image14.png)
例如,若要防止對伺服器的 HTTP TRACE 要求,您會在對話方塊中輸入 「TRACE」。
![[預設網站首頁] 窗格的螢幕擷取畫面,其中顯示已選取 [要求篩選]。](index/_static/image9.png)
![此螢幕擷取畫面顯示 [要求篩選] 窗格,其中 [動作] 窗格中的 [H T T P 動詞] 索引標籤和 [拒絕動詞] 選項。](index/_static/image11.png)
![[拒絕動詞] 對話方塊的螢幕擷取畫面,其中顯示 H T T P 動詞方塊。](index/_static/image13.png)
組態
屬性
| 屬性 | 描述 |
|---|---|
allowUnlisted |
選擇性的 Boolean 屬性。 指定 Web 服務器是否應該處理未列出的動詞。 如果您將此屬性設定為 true,則必須列出您想要拒絕的所有動詞。 如果您將此屬性設定為 false,則必須列出您想要允許的所有動詞。 預設值是 true。 |
applyToWebDAV |
選擇性的 Boolean 屬性。 指定這些設定是否也應該套用至 WebDAV 要求。 |
子元素
| 元素 | 描述 |
|---|---|
add |
選擇性項目。 將動詞新增至動詞集合。 |
clear |
選擇性項目。 從動詞集合中移除動詞的所有參考。 |
remove |
選擇性項目。 從動詞集合中移除動詞動詞的參考。 |
組態範例
下列範例Web.config檔案會設定兩個選項:它會設定 IIS 來拒絕 HTTP PUT 要求,並將要求篩選設定為允許 WebDAV 存取所有 HTTP 動詞。
<configuration>
<system.webServer>
<security>
<requestFiltering>
<verbs applyToWebDAV="false">
<add verb="PUT" allowed="false" />
</verbs>
</requestFiltering>
</security>
</system.webServer>
</configuration>
範例程式碼
下列程式碼範例會設定兩個選項:他們會設定 IIS 來拒絕「預設網站」的 HTTP PUT 要求,並設定要求篩選以允許 WebDAV 存取所有 HTTP 動詞。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /verbs.applyToWebDAV:"False"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"verbs.[verb='PUT',allowed='False']"
PowerShell
Start-IISCommitDelay
$verbs = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'verbs'
Set-IISConfigAttributeValue -ConfigElement $verbs -AttributeName 'applyToWebDAV' -AttributeValue $false
New-IISConfigCollectionElement -ConfigCollection $verbs -ConfigAttribute @{ 'verb'='PUT';'allowed'=$false }
Stop-IISCommitDelay
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetWebConfiguration("Default Web Site");
ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");
ConfigurationElement verbsElement = requestFilteringSection.GetChildElement("verbs");
verbsElement["applyToWebDAV"] = false;
ConfigurationElementCollection verbsCollection = verbsElement.GetCollection();
ConfigurationElement addElement = verbsCollection.CreateElement("add");
addElement["verb"] = @"PUT";
addElement["allowed"] = false;
verbsCollection.Add(addElement);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
Dim verbsElement As ConfigurationElement = requestFilteringSection.GetChildElement("verbs")
verbsElement("applyToWebDAV") = False
Dim verbsCollection As ConfigurationElementCollection = verbsElement.GetCollection
Dim addElement As ConfigurationElement = verbsCollection.CreateElement("add")
addElement("verb") = "PUT"
addElement("allowed") = False
verbsCollection.Add(addElement)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var verbsElement = requestFilteringSection.ChildElements.Item("verbs");
verbsElement.Properties.Item("applyToWebDAV").Value = false;
var verbsCollection = verbsElement.Collection;
var addElement = verbsCollection.CreateNewElement("add");
addElement.Properties.Item("verb").Value = "PUT";
addElement.Properties.Item("allowed").Value = false;
verbsCollection.AddElement(addElement);
adminManager.CommitChanges();
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set verbsElement = requestFilteringSection.ChildElements.Item("verbs")
verbsElement.Properties.Item("applyToWebDAV").Value = False
Set verbsCollection = verbsElement.Collection
Set addElement = verbsCollection.CreateNewElement("add")
addElement.Properties.Item("verb").Value = "PUT"
addElement.Properties.Item("allowed").Value = False
verbsCollection.AddElement(addElement)
adminManager.CommitChanges()