自定义授权标头导致缺少状态代码。 IIS 10.0

时间:2016-08-19 13:54:22

标签: iis iis-10

我有一个web应用程序,它没有为所有具有Bearer类型的Authorization请求头的请求返回任何状态代码。

我在IIS中创建了一个新的概念证明,只是一个index.html文件。

我已向本网站提出四项请求: four request

  • _t = A是没有授权标头的请求。
  • _t = B是将Authorization标头设置为Bearer
  • 的请求
  • _t = C是Authorization标头设置为Basic
  • 的请求
  • _t = D是Authorization标头设置为Basicc
  • 的请求

所有四个请求都发送了相同的响应,看起来状态代码没有发送到具有IIS未知的授权方案的请求。

在WS3SVC日志文件中,所有请求的状态均为200:

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2016-08-19 13:37:41 ::1 GET /index.html _t=A 5443 - ::1 HTTP/2.0 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:47.0)+Gecko/20100101+Firefox/47.0 https://localhost:5443/index.html 200 0 0 4
2016-08-19 13:37:53 ::1 GET /index.html _t=B 5443 - ::1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:47.0)+Gecko/20100101+Firefox/47.0 https://localhost:5443/index.html 200 0 0 1
2016-08-19 13:38:05 ::1 GET /index.html _t=C 5443 - ::1 HTTP/2.0 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:47.0)+Gecko/20100101+Firefox/47.0 https://localhost:5443/index.html 200 0 0 3
2016-08-19 13:38:14 ::1 GET /index.html _t=D 5443 - ::1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:47.0)+Gecko/20100101+Firefox/47.0 https://localhost:5443/index.html 200 0 0 3

我也在不同的机器(也是Windows 10和IIS 10.0)上测试了它,它具有相同的行为。

虽然它没有通过不发送状态代码来破坏网站,但我仍然认为必须有办法解决这个问题。

0 个答案:

没有答案