我们在一对负载平衡的 IIS v10 服务器后面运行 API,这些服务器将请求路由到一对 Tomcat 服务器(这种架构的历史原因)。
请求中包含零宽度控制字符时,会出现几个实例。此值未按编码形式显示,并且与此控制字符一起出现在日志文件中。
我们的问题是 IIS 允许此请求通过,但 Tomcat 阻止了它,因为它不符合 RFC7230 和 RFC3986。这完全说得通,但 IIS 允许不符合 RFC 的请求通过就很奇怪了。
是否存在一个配置选项可以让我们在 IIS 级别阻止不符合 RFC 的请求,或者 IIS 是否只是允许某些事情发生?