ISA 2006 反向代理问题上的 DotNetOpenAuth OpenID

Question

我正在尝试托管我的网站，该网站在 ISA 2006（反向代理）后面使用 DotNetOpenAuth (OpenID)，并在通过提供商（例如 Google）进行身份验证后，返回一个 URL 中包含 %253A 的 URL。然而，ISA HTTP 过滤器拒绝该请求。

我需要做的是，在 ISA Web 发布规则上，右键单击 >配置HTTP策略属性>取消选中“验证标准化”并且它起作用了。

• 这通常是 ISA 2006 上的问题吗？其他防火墙是否也存在类似问题？
• 或者，这是 OpenID 或 DotNetOpenAuth 问题吗？
• 禁用 ISA 规范化检查是否安全？

根据 MSDN，引用“Web 服务器接收 URL 编码的请求。这意味着某些字符可能会被替换为百分号 (%) 后跟特定数字。例如，%20 对应于空格，因此请求http://myserver/My%20Dir/My%20File.htm 是相同的作为对 http://myserver/My Dir/My File.htm 的请求 规范化是解码 URL 的过程 -编码的请求。 由于 % 可以进行 URL 编码，因此攻击者可以向基本上是双重编码的服务器提交精心设计的请求。如果发生这种情况，Internet 信息服务 (IIS) 可能会接受原本会因无效而拒绝的请求。当您选择“验证规范化”时，HTTP 过滤器会对 URL 进行两次规范化。如果第一次规范化后的 URL 与第二次规范化后的 URL 不同，则过滤器会拒绝该请求。这可以防止依赖双编码请求的攻击。 请注意，虽然我们建议您使用验证标准化功能，但它也可能会阻止包含 % 的合法请求。”

Answer 1

OpenID 消息的请求中通常可能包含双重编码的 URL。因此，根据您提供的文档，我想说您必须在反向代理上禁用“验证标准化”。