Parameter:
HTTPAllowDecodedUrlPercentKurzbeschreibung: Erlaubt oder blockiert dekodierte
%-Zeichen in URL-Pfaden – Schutzmaßnahme gegen HTTP-Smuggling und Path-Traversal-Angriffe.Steckbrief
Parameter | HTTPAllowDecodedUrlPercent |
Kategorie | HTTP / Web |
Komponente | Server |
Verfügbar seit | 10.0 |
Unterstützte Versionen | 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = blockieren (empfohlen), 1 = zulassen (Kompatibilitätsmodus) |
Beschreibung
Nach der ersten URL-Dekodierung kann ein übrig gebliebenes
%-Zeichen im Pfad (z. B. durch Double-Encoding wie %2570) ein Hinweis auf einen Smuggling-/Path-Traversal-Versuch sein. Domino lehnt solche URLs standardmäßig ab (HTTPAllowDecodedUrlPercent=0). Mit 1 wird der strikte Check aufgehoben – nur sinnvoll, wenn legitime Anwendungen tatsächlich %-Zeichen in dekodierten Pfaden benötigen.Für internet-exponierte Server ist
0 zwingend zu empfehlen.Beispiel-Konfiguration
HTTPAllowDecodedUrlPercent=0
Hinweise & Stolperfallen
- Greift nach
restart task http.
1schwächt aktiv eine Sicherheitsgrenze – nur temporär und gezielt aktivieren, falls eine Legacy-App das wirklich braucht.
- Ergänzt sich mit
HTTPDisableMethods,HTTPDisableTRACEund Reverse-Proxy-WAFs.
- Auffällige Einträge erscheinen im HTTP-Log mit
400 Bad Request.