URLScan是一個(gè)IIS下的ISAPI 篩選器，它能夠限制服務(wù)器將要處理的HTTP請(qǐng)求的類型。通過(guò)阻止特定的 HTTP 請(qǐng)求，URLScan 篩選器可以阻止可能有害的請(qǐng)求到達(dá)服務(wù)器并造成危害，URLScan可用于IIS7.5、IIS7、IIS6.
IIS7.5下需先安裝IIS6元數(shù)據(jù)兼容性，官網(wǎng)下載：http://www.iis.net/download/urlscan

URLScan配置文件：C:\Windows\System32\inetsrv\urlscan\UrlScan.ini

配置文件詳解：

UseAllowVerbs=1
; 允許的請(qǐng)求的HTTP類型;
; 如果設(shè)置為 1，則[AllowVerbs]生效;
; 如果設(shè)置為 0，則[AllowVerbs]生效。
UseAllowExtensions=0
; 允許請(qǐng)求的后綴類型;
; 如果設(shè)置為 0，則[DenyExtensions]生效;
; 如果設(shè)置為 1，則[AllowExtensions]生效。
NormalizeUrlBeforeScan=1
; 執(zhí)行前標(biāo)準(zhǔn)化URL。
VerifyNormalization=1
; 雙重標(biāo)準(zhǔn)化URL。
AllowHighBitCharacters=1
; 如果設(shè)置為 1，將允許URL中存在所有字節(jié);
; 如果設(shè)置為 0，含有非ASCII字符的URL將拒絕(如UTF8或者M(jìn)BCS)。
AllowDotInPath=0
; 如果設(shè)置為0，則URLScan 拒絕所有包含多個(gè)句點(diǎn) (.) 的請(qǐng)求。
RemoveServerHeader=0
;設(shè)置為1可隱藏服務(wù)器信息。
AlternateServerName=
; 如果將 RemoveServerHeader設(shè)為0，此可自定義服務(wù)器關(guān)信息。
; 如果將 RemoveServerHeader設(shè)為1，則此選項(xiàng)將被忽略。
EnableLogging=1
; 開(kāi)啟日志記錄
PerProcessLogging=0
; 如果設(shè)置為0，為每個(gè)進(jìn)程創(chuàng)建日志文件。
PerDayLogging=1
; 如果設(shè)置為 1，則URLScan每天創(chuàng)建一個(gè)新的日志文件。
AllowLateScanning=0
; 如果設(shè)置為 0，則 URLScan 作為高優(yōu)先級(jí)篩選器運(yùn)行。
UseFastPathReject=0
; 如果設(shè)置為 1，則 URLScan 忽略 RejectResponseUrl 設(shè)置并立即向?yàn)g覽器返回 404 錯(cuò)誤信息。
; 如果設(shè)置為 0，則 URLScan 使用 RejectResponseUrl 設(shè)置來(lái)返回請(qǐng)求。
RejectResponseUrl=
; 設(shè)置用于返回的Url路徑