ファイル名拡張子 <fileExtensions>

  • [アーティクル]

概要

'<fileExtensions>' 要素には、'<add>' 要素のコレクションが含まれています。これは、各 '<add>' 要素の定義方法に応じて、IIS で許可または拒否される一意のファイル名拡張子を指定します。 <fileExtensions> 要素を使用すると、サーバーが Web クライアントで使用できるコンテンツの種類を微調整できます。

たとえば、allowUnlisted 属性を false に設定した場合、許可された拡張子の一覧に含まれない拡張子を持つファイルに対するすべての要求は拒否されます。 <clear> 要素を使用すると、既に定義されているファイル名拡張子の一覧をクリアし、許可するファイル名拡張子のみを指定できます。

Note

要求のフィルタリングが、ファイル名拡張子が拒否されたために HTTP 要求をブロックすると、IIS 7 は HTTP 404 エラーをクライアントに返し、要求が拒否された理由を識別する一意のサブ状態で次の HTTP 状態をログに記録します。

HTTP サブ状態 説明
404.7 ファイル拡張子の拒否

このサブ状態によって、Web 管理者は IIS ログを分析し、潜在的な脅威を特定できます。

互換性

バージョン メモ
IIS 10.0 <fileExtensions> 要素は、IIS 10.0 では変更されませんでした。
IIS 8.5 <fileExtensions> 要素は、IIS 8.5 では変更されませんでした。
IIS 8.0 <fileExtensions> 要素は IIS 8.0 では変更されませんでした。
IIS 7.5 <fileExtensions> 要素は、IIS 7.5 では変更されませんでした。
IIS 7.0 <requestFiltering> コレクションの <fileExtensions> 要素は IIS 7.0 で導入されました。
IIS 6.0 <fileExtensions> 要素は、IIS 6.0 UrlScan AllowExtensions 機能と DenyExtensions 機能を置き換えます。

段取り

IIS 7 以降の既定のインストールには、要求のフィルタリングの役割サービスまたは機能が含まれます。 要求のフィルタリングの役割サービスまたは機能がアンインストールされている場合は、次の手順を使用して再インストールできます。

Windows Server 2012 または Windows Server 2012 R2

  1. タスク バーで [サーバー マネージャー]をクリックします。
  2. [サーバー マネージャー] で、[管理] メニューを選択し、[役割と機能の追加] を選択します。
  3. 役割と機能の追加ウィザードで、[次へ] を選択します。 [インストールの種類] を選択し、[次へ] を選択します。 対象サーバーを選択し、[次へ] を選択します。
  4. [サーバーの役割] ページで [Web サーバー (IIS)] を展開し、[Web サーバー][セキュリティ][要求のフィルタリング] の順に展開します。 次へ をクリックします。
    Screenshot of the Request Filtering option being highlighted and selected.
  5. [機能の選択] ページで、[次へ] をクリックします。
  6. [インストール オプションの確認] ページで、[インストール] をクリックします。
  7. [結果] ページで、 [閉じる]をクリックします。

Windows 8 または Windows 8.1

  1. [スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] を選択します。
  2. [コントロール パネル][プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。
  3. [インターネット インフォメーション サービス]を展開し、[World Wide Web サービス] を展開し、[セキュリティ] を展開して、[要求のフィルタリング] を選択します。
    Screenshot of the Request Filtering folder being highlighted and selected.
  4. OK をクリックします。
  5. 閉じるをクリックします。

Windows Server 2008 または Windows Server 2008 R2

  1. タスク バーで [スタート] を選択し、[管理ツール] をポイントして、[サーバー マネージャー] を選択します。
  2. [サーバー マネージャー] 階層ウィンドウで [ロール] を展開し、[Web サーバー (IIS)] を選択します。
  3. [Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] を選択します。
  4. 役割サービスの追加ウィザード[役割サービスの選択] ページで、[要求のフィルタリング] を選択し、[次へ] を選択します。
    Screenshot of the Add Role Services Wizard
  5. [インストール オプションの確認] ページで、[インストール] をクリックします。
  6. [結果] ページで、 [閉じる]をクリックします。

Windows Vista または Windows 7

  1. タスク バーで、[スタート][コントロール パネル] の順に選択します。
  2. [コントロール パネル][プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。
  3. [インターネット インフォメーション サービス][World Wide Web サービス][セキュリティ] の順に展開します。
  4. [要求のフィルタリング] を選択し、[OK] を選択します。
    Screenshot of the Select Roles Services Wizard showing the Request Filtering folder being highlighted and selected.

操作方法

IIS 7.0 ユーザーの場合の注意: このセクションの一部の手順では、要求のフィルタリング用のユーザー インターフェイスを含む IIS 7.0 用 Microsoft 管理パックをインストールする必要がある場合があります。 IIS 7.0 用 Microsoft 管理パックをインストールするには、次の URL を参照してください。

特定のファイル名拡張子へのアクセスを拒否する方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] を選択し、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順に選択します。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] を選択します。
      • [管理ツール] を選択し、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンを選択し、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順に選択します。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順に選択します。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウで、要求のフィルタリング設定を変更する接続、サイト、アプリケーション、またはディレクトリに移動します。

  3. [ホーム] ウィンドウで、[要求のフィルタリング] をダブルクリックします。
    Screenshot of the Default Web Site Home pane showing the Request Filtering option being highlighted.

  4. [要求のフィルタリング] ウィンドウで、[ファイル名拡張子] タブを選択し、[操作] ウィンドウの [ファイル名拡張子の拒否] を選択します。
    Screenshot of the Request Filtering pane showing the Deny File Name Extension option.

  5. [ファイル名拡張子の拒否] ダイアログ ボックスで、ブロックするファイル名拡張子を入力し、[OK] を選択します。
    Screenshot of the Deny File Name Extension dialog box, showing the O K option.たとえば、ファイル名拡張子が .inc のファイルにアクセスできないようにするには、ダイアログ ボックスに「inc」と入力します。

構成

属性

属性 説明
allowUnlisted 省略可能な Boolean 属性です。

Web サーバーで、ファイル名拡張子が一覧に含まれていないファイルを処理するかどうかを指定します。 この属性を true に設定する場合は、拒否するすべてのファイル名拡張子を一覧に含める必要があります。 この属性を false に設定する場合は、許可するすべてのファイル名拡張子を一覧に含める必要があります。

既定値は true です。
applyToWebDAV 省略可能な Boolean 属性です。

これらの設定を WebDAV 要求にも適用するかどうかを指定します。

子要素

要素 説明
add 省略可能な要素です。

ファイル名拡張子のコレクションにファイル名拡張子を追加します。
clear 省略可能な要素です。

ファイル名拡張子への参照をすべて <fileExtensions> コレクションから削除します。
remove 省略可能な要素です。

ファイル名拡張子への参照を <fileExtensions> コレクションから削除します。

構成サンプル

次の Web.config ファイルの例では、2 つのオプションを構成します。 すべてのファイル名拡張子への WebDAV アクセスを許可するように要求のフィルタリングを構成し、ファイル名拡張子が .inc のファイルへのアクセスを拒否するように IIS を構成します。これは、アプリケーションのインクルード ファイルとして使用される場合があります。

<configuration>
   <system.webServer>
      <security>
         <requestFiltering>
            <fileExtensions applyToWebDAV="false">
               <add fileExtension=".inc" allowed="false" />
            </fileExtensions>
         </requestFiltering>
      </security>
   </system.webServer>
</configuration>

サンプル コード

次のコード サンプルでは、.inc という拡張子を持つすべてのファイルへのアクセスを拒否する既定の Web サイトのファイル名拡張子の一覧にエントリを追加します。これらはアプリケーションのインクルード ファイルとして使用されることがあり、WebDAV が非表示のセグメントにアクセスできるように要求のフィルタリングを構成します。

Note

同じサンプルを使用してアクセスを許可するには、これらの各例で、allowed 属性の値を false でなく true に設定します。

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /fileExtensions.applyToWebDAV:"False"

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"fileExtensions.[fileExtension='.inc',allowed='False']"

PowerShell

Start-IISCommitDelay

$fileExtensions = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'fileExtensions'

New-IISConfigCollectionElement -ConfigCollection $fileExtensions -ConfigAttribute @{ 'fileExtension' = '.inc'; 'allowed' = $false } -AddAt 0

Set-IISConfigAttributeValue -ConfigElement $fileExtensions -AttributeName 'applyToWebDAV' -AttributeValue $false

Stop-IISCommitDelay

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Default Web Site");
         ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");

         ConfigurationElement fileExtensionsElement = requestFilteringSection.GetChildElement("fileExtensions");
         fileExtensionsElement["applyToWebDAV"] = false;
         ConfigurationElementCollection fileExtensionsCollection = fileExtensionsElement.GetCollection();

         ConfigurationElement addElement = fileExtensionsCollection.CreateElement("add");
         addElement["fileExtension"] = @"inc";
         addElement["allowed"] = false;
         fileExtensionsCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
      Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")

      Dim fileExtensionsElement As ConfigurationElement = requestFilteringSection.GetChildElement("fileExtensions")
      fileExtensionsElement("applyToWebDAV") = False
      Dim fileExtensionsCollection As ConfigurationElementCollection = fileExtensionsElement.GetCollection

      Dim addElement As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
      addElement("fileExtension") = "inc"
      addElement("allowed") = False
      fileExtensionsCollection.Add(addElement)

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");

var fileExtensionsElement = requestFilteringSection.ChildElements.Item("fileExtensions");
fileExtensionsElement.Properties.Item("applyToWebDAV").Value = false;
var fileExtensionsCollection = fileExtensionsElement.Collection;

var addElement = fileExtensionsCollection.CreateNewElement("add");
addElement.Properties.Item("fileExtension").Value = "inc";
addElement.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")

Set fileExtensionsElement = requestFilteringSection.ChildElements.Item("fileExtensions")
fileExtensionsElement.Properties.Item("applyToWebDAV").Value = False
Set fileExtensionsCollection = fileExtensionsElement.Collection

Set addElement = fileExtensionsCollection.CreateNewElement("add")
addElement.Properties.Item("fileExtension").Value = "inc"
addElement.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement)

adminManager.CommitChanges()