正しく処理するIISパーセント記号付きリクエスト（/％）

これはIISカーネルレベルでブロックされています。テストとしてeveryモジュールをIISそのため、静的ページハンドラすらなく、400エラーメッセージが表示されていました。

IISでそれを回避することは不可能だと思います。あなたが言及したレジストリ設定は、他の種類の制限された文字に対するものです。その機能を変更するためのレバーを見たことがありません。

あなたの目標はそれを避けることですか？攻撃面が広くなり、不完全なURLエスケープシーケンスをブロックした結果、正当な訪問者が失われることは想像できません。

Update2：これに関する3つの素晴らしいリンクがあります。 IISチームのNazim LalaとWade Hilmoの両方が、あなたの質問に関する議論のため、これについてブログを書いています。また、Scott Hanselmanが.NET内のクエリ文字列の部分に素晴らしい投稿をしています：

• IISでの特殊文字の使用 -Nazim Lala
• 方法IIS URLの文字をブロックする -Wade Hilmo
• 奇抜な実験 -スコット・ハンセルマン

更新：信頼できる回答を得るためにIISチームのメンバーに確認しました。％はRFC 1738（ http://www.ietf.org/rfc/rfc1738.txt ）に従って安全でない文字と見なされました。

関連するテキストは次のとおりです。

安全ではない：

文字はいくつかの理由で安全ではない可能性があります。スペース文字は安全ではありません。URLが転記またはタイプセットされるか、ワープロプログラムの処理を受けると、重要なスペースが消えたり、重要でないスペースが導入されたりする可能性があるためです。文字「<」と「>」は、フリーテキストのURLの区切り文字として使用されるため、安全ではありません。一部のシステムでは、引用符（ "" "）を使用してURLを区切ります。WorldWide Webおよび他のシステムでは、フラグメント/アンカーからURLを区切るために使用されるため、文字"＃ "は安全ではなく、常にエンコードする必要があります。 文字「％」は他の文字のエンコードに使用されるため、安全ではありません。ゲートウェイやその他のトランスポートのため、他の文字は安全ではありませんエージェントはこのような文字を変更することが知られています。これらの文字は、「{」、「}」、「|」、「\」、「^」、「〜」、「[」、「]」、「 `」です。

安全でない文字はすべてURL内で常にエンコードする必要があります。たとえば、通常はフラグメントまたはアンカー識別子を処理しないシステムでも、文字「＃」はURL内でエンコードする必要があります。そのため、URLを使用する別のシステムにURLをコピーする場合、URLを変更する必要はありません。 URLエンコーディング。

したがって、IISは、コアレベルでこれをプロアクティブにブロックします。これは、攻撃対象領域を最小限に抑えるプロアクティブなセキュリティ対策です。