Question

我有一个web应用程序，它没有为所有具有Bearer类型的Authorization请求头的请求返回任何状态代码。

我在IIS中创建了一个新的概念证明，只是一个index.html文件。

我已向本网站提出四项请求： four request

_t = A是没有授权标头的请求。
_t = B是将Authorization标头设置为Bearer
_t = C是Authorization标头设置为Basic
_t = D是Authorization标头设置为Basicc

所有四个请求都发送了相同的响应，看起来状态代码没有发送到具有IIS未知的授权方案的请求。

在WS3SVC日志文件中，所有请求的状态均为200：

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2016-08-19 13:37:41 ::1 GET /index.html _t=A 5443 - ::1 HTTP/2.0 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:47.0)+Gecko/20100101+Firefox/47.0 https://localhost:5443/index.html 200 0 0 4
2016-08-19 13:37:53 ::1 GET /index.html _t=B 5443 - ::1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:47.0)+Gecko/20100101+Firefox/47.0 https://localhost:5443/index.html 200 0 0 1
2016-08-19 13:38:05 ::1 GET /index.html _t=C 5443 - ::1 HTTP/2.0 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:47.0)+Gecko/20100101+Firefox/47.0 https://localhost:5443/index.html 200 0 0 3
2016-08-19 13:38:14 ::1 GET /index.html _t=D 5443 - ::1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:47.0)+Gecko/20100101+Firefox/47.0 https://localhost:5443/index.html 200 0 0 3

我也在不同的机器（也是Windows 10和IIS 10.0）上测试了它，它具有相同的行为。

虽然它没有通过不发送状态代码来破坏网站，但我仍然认为必须有办法解决这个问题。

自定义授权标头导致缺少状态代码。 IIS 10.0

0 个答案: