对于显式HTTPS请求，WSA警告、确认和EUN页面无法正确显示

简介

本文档介绍当警告、确认或最终用户通知(EUN)页面无法针对显式HTTPS请求正确显示时，思科网络安全设备(WSA)上遇到的问题。还提供了解决此问题的方法。

先决条件

要求

本文档中的信息假设：

• WSA代理地址在显式模式下部署。
• HTTPS请求会被阻止、发出警告或需要用户确认。

使用的组件

本文档中的信息基于Cisco WSA。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

问题

对于显式HTTPS请求，Warning、Acknowledgement或EUN页面无法正确显示。浏览器显示的通知页面不完整，或者根本不显示通知页面，而是显示错误页面。

当您使用显式HTTPS请求时，这些页面周围存在多个问题。当您将浏览器配置为使用代理时，HTTPS流量将通过HTTP定向到WSA。此请求格式化为基于HTTP的HTTPS。

浏览器存在两个已知问题，它们无法正确处理WSA为显式HTTPS请求返回的HTTP应答。当显式HTTPS请求被阻止、警告或需要用户确认时，WSA返回403状态代码。在此回复中，WSA包括通常应在屏幕上显示的通知内容，以便可以查看。但是，在某些情况下，浏览器无法理解返回的内容中的回复。
观察到的浏览器行为如下：

• 当使用Internet Explorer版本6 (IE6)和某些版本的IE7时，这些请求无法呈现HTML回复的完整内容。浏览器仅接受前几个字节（第一个数据包中的内容）并忽略其余字节。在这种情况下，您会看到仅显示几个字符的不完整页面。
  

  注意：如果是这种情况，思科建议您从WSA回复中缩小默认通知页面。有关如何编辑EUN页的详细信息，请参阅WSA用户指南的编辑IronPort通知页部分。

• 当使用IE8和更高版本的Mozilla Firefox版本3时，浏览器会完全忽略WSA返回的应答，并使用其自己的错误页面屏蔽该应答。此浏览器行为会破坏403通知的用途，并导致该功能中断。

解决方案

本节介绍在WSA上启用HTTPS解密时发生的过程。要解决上述问题，请使用所提供的信息来确保相应地配置您的系统。

以下是发送显式HTTPS请求时的流量示例：

• 启用HTTPS解密时，WSA首先根据解密策略验证请求。
  
  
• 如果请求标记为PASSTHROUGH，则允许流量通过（无警告或EUN）。
  
  
• 如果请求标记为DECRYPTED，则根据访问策略验证请求。在这种情况下，如果配置了访问策略，以便WARN或BLOCK，则EUN页会正确显示。很遗憾，对于确认，用户必须导航到HTTP页面和确认，这要求先通过代理导航，然后导航到HTTPS站点。
  
  
• WSA会记住客户端IP地址，并且在计时器过期之前不需要再次确认。