IIS がゼロ幅文字のリクエストを受け入れる

IIS がゼロ幅文字のリクエストを受け入れる

私たちは、リクエストを Tomcat サーバーのペアにルーティングする、負荷分散された IIS v10 サーバーのペアの背後で API を実行しています (このアーキテクチャの歴史的な理由)。

URI にゼロ幅の制御文字が含まれているリクエストが送信される場合、いくつかのインスタンスが発生します。この値はエンコードされた状態で送信されず、このログ ファイルではこの制御文字とともに表示されます。

問題は、IIS がこの要求を許可しているが、Tomcat が RFC7230 および RFC3986 に準拠していないためそれをブロックしていることです。これはまったく理にかなっていますが、IIS が RFC に準拠していない要求を許可しているのは奇妙です。

RFC に準拠していない要求を IIS レベルでブロックできる構成オプションはありますか? それとも、IIS は特定の事柄の発生を単に許可しているだけなのでしょうか?

関連情報