启用双重转义有危险吗？

编辑： 在相关部分增加了重点。

基本上：IIS过于偏执。如果您对uri解码的数据没有做任何特别不明智的事情（例如通过字符串串联生成本地文件系统URI），则可以安全地禁用此检查。

要禁用该检查，请执行以下 *** 作（从此处开始）：（请参阅下面的评论，以了解需要进行何种双重转义）。

<system.webServer>    <security>        <requestFiltering allowDoubleEscaping="true"/>    </security></system.webServer>

如果加号在搜索输入中是有效字符，则 需要 启用“ allowDoubleEscaping”以允许IIS从URI的路径处理此类输入。

最后，一个非常简单的方法（如果受限制的话）只是避免使用“ +”，而是使用“％20”。 在任何情况下，使用’+’符号对空格进行编码 都不
是有效的url编码
，而是特定于一组有限的协议，并且可能由于向后兼容的原因而得到广泛支持。如果仅出于规范化目的，最好还是将空格编码为’％20’。并且很好地避开了IIS7问题（对于其他序列，例如％25ab，它仍然可以冒出来）。