IIS trailing slash wordt automatisch toegevoegd

Situatie.

IIS default installatie, geen Redirects, geen URL rewrites.

Site linkt naar folder op diezelfde server, waarin een Directory genaamd "TEST" is.

Link is www.testditeens.nl/test

Als je dus die URL opvraagt, dan zegt IIS: Ik zie dat je een bestand probeert te openen, die is er niet, maar ik zie wel dat er een directory is met diezelfde naam, dus ik redirect je wel even met een 301 en voeg dan die slash wel voor jou toe.

Als de directory niet bestaat, dan krijg je wel netjes een 404.

Ik wil dit niet. Ik wil eigenlijk gewoon een 404 krijgen, ook als de directory WEL bestaat, maar de slash niet in de url staat.

Iemand enig idee hoe dit default gedrag van IIS aan te passen?

Paul schreef op donderdag 5 oktober 2023 @ 15:22:
Krijg je wel een 403.14 Directory listing denied of krijg je de inhoud van de directory te zien? En wat wil je precies bereiken? Wat is het doel achter niet niet willen van de redirect? Wil je verbergen dat de directory bestaat?

Mogelijk doet Request Filtering wat je wil? https://serverfault.com/q...tory-of-text-files-on-iis Ik denk wel dat je dan iedere directory apart op moet geven, en ik weet niet of je dan nog wel bij bestanden mag die IN die directory staan. Ik neem aan dat je dit laatste wel toe wil staan, want anders is er geen reden om die directory daar te laten staan; dan kun je hem beter verplaatsen naar buiten de directory van je website.

Nou, ik wil bereiken dat er een 404 komt.

Het punt is namelijk dat de redirect daarna verkeerd door onze firewall wordt afgehandeld. Die veranderd de URL in iets heel anders. Ik wil dus gewoon voorkomen dat er een 301 terug komt, maar gewoon een 404. Want technisch gezien vraag je een bestand op, als je de slash er niet achter zet. En dat bestand is er niet.

Ik typ de rest ook wel even uit, maar is puur als extra info.

We hebben een SOPHOS XGS, waarin we de Web Application Firewall rules gebruiken om een webserver van buitenaf te benaderen. Daar hebben we een WAF rule in voor 5 url's.

test1.ditiseentest.nl
test2.ditiseentest.nl
test3.ditiseentest.nl
test4.ditiseentest.nl
test5.ditiseentest.nl

Als we dus test5.ditiseentest.nl/test opvragen krijgt de firewall de redirect terug, maar om een of andere onverklaarbare reden maakt die daar dan test1.ditsieentest.nl/test/ van. Hij pakt altijd de bovenste in de WAF regel domeinlijst.

IIS stuurt dus een 301 terug met het relative pad, maar daar kan dus de firewall niet mee omgaan blijkbaar. Vandaar dat ik wil voorkomen dat er een 301 terugkomt. Want een 404 snapt de firewall wel.

Ja, ik ben ook aan de firewall kant aan het kijken wat ik hier mee kan. Maar als het vanaf de IIS kant kan, dan zou dat al helpen natuurlijk.

[ Voor 28% gewijzigd door ActualFantasy op 05-10-2023 15:58 ]

Paul schreef op donderdag 5 oktober 2023 @ 22:19:
Ik zou dit aan de firewall-kant oplossen, want 301 en 302 redirects zijn bijna het brood en boter van het internet, en je SEO team komt je met hooivorken en fakkels opzoeken als die niet werken Nu loop je er tegenaan bij een directory, straks is het een feature die men wil.

Eén van de kernpunten van een WAF is dat het de inhoud kan bekijken, dus de Host-header in het request zou bekend moeten zijn. Tevens zou het voor de WAF geen verrassing moeten zijn bij welk request een bepaalde response hoort. Het lijkt me dus dat dit gedrag niet hoort.

Ik ken de Sophos WAF niet, maar is het als workaround mogelijk ipv één regel, 5 regels te maken?

Bedankt voor je meedenken.

Ik ben het gedeeltelijk met je eens dat we in de firewall hier iets mee zouden moeten,

Als we zelf een 301 of 302 instellingen in de Redirection module van onze IIS dan werkt het wel allemaal goed. Blijkbaar doet IIS wat anders. Ik heb inmiddels uitgevonden dat het om een "Courtesy 301 redirect" gaat. Ze doen dan het blijkbaar toch net wat anders dan een echte 301 redirect, ik heb alleen nog geen idee wat. Vanochtend wel een "plugin" gevonden die deze Courtesy Redirect uitschakeld, dus daar vandaag eens even induiken

https://github.com/Ekus/CourtesyRedirectOverride

Over je andere puntje.

We zijn dit jaar overgestapt van een Sophos UTM naar een Sophos XGS omdat de UTM's eruit gaan kwa support. Helaas is ons toen niet verteld dat deze stap betekend dat het aantal WAF regels hardcoded is op 50. In de UTM zat hier geen limiet op, in de XGS wel. We willen het aantal regels dus eigenlijk zo veel mogelijk beperken.

Question Mark schreef op vrijdag 6 oktober 2023 @ 08:29:
[...]

Even twee vragen, waarom "gedeeltelijk eens"? Als een firewall ergens niet goed mee omgaat, los je dat op in een firewall en niet via een vreemde plug-in in de achterliggende webserver. Straks doet die plug-in het niet meer na een bepaalde MS patchronde...

Wat zegt Sophos zelf over dit issue? Heb je het daar al aangekaart?

Omdat als we handmatig een 301 instellen via IIS de Sophos firewall dit wel goed afhandeld.

Die courtesy redirect doet dus net wat anders dan een standaard 301 redirect. En ik vind dat IIS niet voor mij moet bepalen of we een directory of bestand willen openen. En helemaal niet dat als die directory toevallig bestaat, dan dus maar zegt oh je zal die wel bedoelen. Ik weet dat dat een windows ding is, maar toch.

Ik heb het aangekaart bij Sophos, maar omdat we hier gisteren pas achter kwamen, loopt dat traject ook nog.