セットアップ: Apache 2.2、mod_auth_sspi 1.0.3/1.0.4、mod_wsgi 3.3、python 2.6.2
背景情報: IE が NTLM チャレンジ/レスポンスを実行する必要がある URL にヒットするたびに、同じドメインへの追加の POST 要求が次のように実行されます。
- 長さゼロの POST (Content-Length 0) が実行されます
- サーバーは 401 で応答します。WWW-Authenticate ヘッダーには NTLMSSP チャレンジが含まれています。
- NTLMSSP_AUTH (応答) に設定された Authorization ヘッダーを使用して、「実際の」(フルレングス) POST が送信されます。
そして、すべてが大丈夫です。
ただし、認証を必要としない (サーバーが 401 で応答しない) ページがヒットすると、恐ろしいことが起こります - 長さゼロの POST がアプリケーションに即座に転送され、あらゆる種類の奇妙なことが起こります。正しく送信されない、ファイルがアップロードされないなど。IE 7 および 8 でこの動作を確認しました。
これは憶測ではありません。実際にトラフィックを盗聴したところ、すべてが上で概説したとおりに正確に進みました。
誰もこれに遭遇したことがありますか?この場合、最もクリーンな回避策は何でしょうか。それとも、これは問題ではなく、私は物事を見ているだけなのでしょうか?