IIS 接受零寬度字元的請求

IIS 接受零寬度字元的請求

我們在一對負載平衡的 IIS v10 伺服器後面執行一個 API,將請求路由到一對 Tomcat 伺服器(此架構的歷史原因)。

當請求透過其中 URI 包含零寬度控製字元時,會出現幾個實例。該值未按編碼方式傳遞,而是與該控製字元一起出現在該日誌檔案中。

我們的問題是 IIS 允許此請求通過,但 Tomcat 阻止它,因為它不符合 RFC7230 和 RFC3986。這完全有道理,但奇怪的是 IIS 允許不符合 RFC 的請求通過。

是否有一個配置選項允許我們在 IIS 層級阻止不符合 RFC 的請求,或者 IIS 只是允許某些事情發生,只是因為?

相關內容