（4）配置文件修改以后，必须重新启动iis，使配置生效；

（5）配置文件由以下各节组成：

[option]节，主要设置节；
[allowverbs]节，配置认定为合法url规则设定，此设定与option节有关；
[denyverbs]节，配置认定为非法url规则设定，此设定与option节有关；
[denyheaders]节，配置认定为非法的header在设立设置；
[allowextensions]节，配置认定为合法的文件扩展名在这里设置，此设定与option节有关；
[denyextensions]节，配置认定为非法的文件扩展名在这里设置，此设定与option节有关；

２、具体配置

（1）option节的配置，因为option节的设置直接影响到以后的配置，因此，这一节的设置特别重要。此节主要进行以下属性的设置：

useallowverbs：使用允许模式检查url请求，如果设置为1,所有没有在[allowverbs]节设置的请求都被拒绝；如果设置为0，所有没有在[denyverbs]设置的url请求都认为合法；默认为1;

useallowextensions：使用允许模式检测文件扩展名；如果设置为 1,所有没在[allowextensions]节设置的文件扩展名均认为是非法请求；如果设置为0,所有没在[denyextensions]节设置的扩展名均被认为是合法请求；默认为0;

enablelogging：是否允许使用log文件，如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤；

allowlatescanning：允许其他url过滤在urlscan过滤之前进行，系统默认为不允许0;

alternateservername：使用服务名代替；如果此节存在而且[removeserverheader]节设置为0,iis将在这里设置的服务器名代替默认的“server”；

normalizeurlbeforescan：在检测url之前规格化url；如果为1，urlscan将在iis编码url之前url进行检测；需要提醒的是，只有管理员对url解析非常熟悉的情况下才可以将其设置为0；默认为1；

verifynormalization：如果设置为1，urlscan将校验url规则，默认为1；此节设定与normalizeurlbeforescan有关；

allowhighbitcharacters：如果设置为1,将允许url中存在所有字节，如果为0，含有非ascii字符的url将拒绝；默认为1；

allowdotinpath：如果设置为1，将拒绝所有含有多个“.”的url请求，由于url检测在iis解析url之前，所以，对这一检测的准确性不能保证，默认为0；

removeserverheader：如果设置为1，将把所有应答的服务头清除，默认为0;

（2）[allowverbs]节配置

如果useallowverbs设置为1,此节设置的所有请求将被允许，一般设置以下请求：