一、说明
在windows server 2016中的IIS程序池里部署一套系统,通过https访问站点,同时考虑到安全问题以及防攻击等行为,就用上了WAF云盾功能,能有效的抵挡部分攻击,加强网站的安全性和健壮性。
应用系统一直能够正常的访问,突然有一天反馈无法访问站点,出现ERR_HTTP2_PROTOCOL_ERROR错误,最新没有更新过系统,所以应该不会是更新出现的问题,要么就是云盾或映射出现问题。
ERR_HTTP2_PROTOCOL_ERROR 是一个Chrome浏览器中的错误,表明浏览器在使用HTTP/2协议时遇到了协议违规的情况。这可能是由于服务器发送了不符合HTTP/2标准的响应导致的。
二、排查
开始安排技术和网络人员进行排查系统,查看为什么突然出现这个错误,从google浏览器反馈的错误来看,是http/2协议导致的。
1、查看服务器是否支持http/2协议,实际服务器的协议是http 1.1协议,应该不会有影响,因为其他的服务器也是一样的,可以正常访问系统。
2、公网映射内网是否错误,通过443端口进行映射内网服务器,将站点代理出去。经过host配置域名和内网IP,在同一个内网网络是可以访问站点,说明内网映射不存在问题。
3、排查浏览器问题,切换google无痕模式、火狐浏览器、IE浏览器,都无法访问,在IE浏览器可以看到请求的地址是http/2协议。但是在支付宝、QQAPP扫码url地址确实能访问,PC端不行。
4、排查云盾WAF,去掉云盾,不经过WAF访问,是可以正常访问,同时是http 1.1协议。
同时也在网上找了一些解决方法,但是都是没有起到作用,什么开启http/2协议、更改iis的配置,都是无法解决问题。
由此可见,是在云盾WAF这个环节出现问题,但是对方反馈也没有做什么更改设置,无法找到原因,只能继续排查问题所在。
三、解决
在云盾WAF的技术多方面排查发现有一个底层策略有关系,如下图:
header头部X-Frame-0ptions: deny 这段内容,发现前面有一个空格,就会导致无法访问。
这个是因为很早的时候,为了解决一些漏洞,在web.config里加上的属性X-Frame-0ptions: deny,估计是复制的时候,不小心,前面多了一个空格。
删除web.config里加上的属性X-Frame-0ptions: deny前面的空格,就能正常访问系统。
当时是可以访问系统的,应该是最近waf升级了策略,校验更加的严格,才会出现ERR_HTTP2_PROTOCOL_ERROR错误。
