OpenID DotNetOpenAuth для проблемы обратного прокси ISA 2006

Я пытаюсь разместить свой сайт, который использует DotNetOpenAuth (OpenID) за ISA 2006 (обратный прокси-сервер), и после того, как он прошел аутентификацию у провайдера (такого как Google), и он возвращается с URL-адресом с% ​​253A в URL-адресе. Однако HTTP-фильтр ISA отклоняет запрос.

Что мне нужно сделать, так это в правиле веб-публикации ISA щелкнуть правой кнопкой мыши> свойства политики HTTP config> снять флажок "Проверить нормализацию", и это сработало.

• Это проблема на ISA 2006 вообще? У других брандмауэров есть подобные проблемы?
• Или это проблема OpenID или DotNetOpenAuth?
• Безопасно ли отключать проверку нормализации на ISA?

Согласно MSDN, цитата "Веб-серверы получают запросы в кодировке URL. Это означает, что определенные символы могут быть заменены знаком процента (%), за которым следует определенное число. Например, %20 соответствует пробелу, поэтому запрос на http://myserver/My%20Dir/My%20File.htm аналогичен запросу для http://myserver/My Dir / My File.htm. Нормализация - это процесс декодирования запросов, закодированных в URL. может быть закодирован URL-адресом, злоумышленник может отправить тщательно созданный запрос на сервер, который в основном имеет двойную кодировку. Если это произойдет, службы IIS могут принять запрос, который в противном случае он отклонил бы как недействительный. При выборе "Подтвердить" Нормализация, HTTP-фильтр нормализует URL-адрес дважды. Если URL-адрес после первой нормализации отличается от URL-адреса после второй нормализации, фильтр отклоняет запрос. Это предотвращает атаки, основанные на запросах с двойным кодированием. Обратите внимание, что хотя мы рекомендуем что вы используете проверку нормализации функция также может блокировать законные запросы, содержащие%."