我有一个在 IIS 7.5 上运行的 ASP.NET(版本 4)MVC 3 应用程序。只要 URL 中有单引号,例如http://devserver.com/myapplication/Home?filter=id~eq~ '123' - 我就会收到 403 Forbidden 错误。
具体来说,当我使用 Kendo UI 网格并尝试过滤其中一列时,就会发生这种情况。但我发现只要 URL 中有单引号,IIS 就会立即给出 403 错误。
我查看了 IIS 日志和事件查看器,没有任何地方显示 403 响应 - 我似乎无法具体找出给出 403 的具体原因。
这不是 IIS,而是 Siteminder!我们的 Web 应用程序前面有 Siteminder,Siteminder 拦截所有传入流量以进行身份验证。在这种情况下,Siteminder 也会禁止包含单引号的 URL。虽然 403 错误看起来像是来自 IIS,但实际上来自 Siteminder。
这个问题也发生在我的应用程序中,罪魁祸首是 Siteminder。他们有一组 BadCSSChars 列表,这些列表将根据我们的 URL 进行验证。如果发现任何错误字符,URL 将被阻止并且不会到达 IIS。
Siteminder 可以在应用服务器中删除 agent.log 文件中的“需要字符”异常(不是这方面的专家,但听说这个文件存储了 badcsschars 列表)。