关于ISA 2006反向代理问题的DotNetOpenAuth OpenID

Question

我正在尝试托管我的站点，该站点在ISA 2006 (反向代理)之后使用DotNetOpenAuth (OpenID)，并且在它与提供者(如谷歌)进行身份验证之后，它返回的URL中包含%253 A的URL。但是，ISA HTTP筛选器拒绝请求。

我需要做的是，在ISA web发布规则上，右击>配置HTTP策略属性>取消检查“验证规范化”，它就成功了。

• ，这是ISA 2006的一个普遍问题吗？其他防火墙是否有类似的问题？
• 还是，是OpenID还是DotNetOpenAuth问题？
• 是否可以安全地禁用ISA?

上的标准化检查？

根据MSDN，引用"Web服务器接收URL编码的请求“。这意味着某些字符可以替换为百分比符号(%)，后面跟着特定的数字。例如，%20对应于一个空格，因此对http://myserver/My%20Dir/My%20File.htm的请求与对http://myserver/My Dir/My File.htm的请求相同。规范化是解码URL编码请求的过程.因为%可以被URL编码，所以攻击者可以向基本上是双重编码的服务器提交精心编制的请求。如果发生这种情况，Internet信息服务(IIS)可能会接受否则它会拒绝的无效请求。当您选择“验证规范化”时，HTTP过滤器将URL规范化两次。如果第一次规范化后的URL与第二次规范化后的URL不同，则筛选器拒绝请求。这可以防止依赖双编码请求的攻击。请注意，虽然我们建议您使用验证规范化函数，但它也可能阻止包含%的合法请求。“

Answer 1

OpenID消息通常会在请求中包含双重编码的URL。因此，根据您提供的文档，我认为您必须禁用反向代理上的“验证规范化”。