對於顯式HTTPS請求，無法正確顯示WSA警告、確認和EUN頁面

簡介

本檔案介紹當明確的HTTPS要求無法正確顯示[警告]、[確認]或[一般使用者通知] (EUN)頁面時，思科網路安全裝置(WSA)上發生的問題。還提供了此問題的解決方法。

必要條件

需求

本檔案中的資訊假設：

• WSA代理地址以顯式模式部署。
• HTTPS請求被阻止、警告或需要使用者確認。

採用元件

本文檔中的資訊基於Cisco WSA。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

問題

對於顯式HTTPS請求，「警告」、「確認」或「EUN」頁無法正確顯示。瀏覽器會顯示不完整的通知頁面，或根本不會顯示該頁面，而是會顯示錯誤頁面。

當您使用顯式HTTPS要求時，這些頁面周圍會有多個問題。當您將瀏覽器配置為使用代理時，HTTPS流量透過HTTP定向到WSA。此請求的格式為HTTPS over HTTP。

瀏覽器存在兩個已知問題，它們無法正確處理WSA為顯式HTTPS請求返回的HTTP應答。當顯式HTTPS請求被阻止、警告或需要使用者確認時，WSA會返回403狀態代碼。在此回覆中，WSA包括通常應在螢幕上顯示的通知內容，以便可檢視它們。但是，在某些情況下，瀏覽器無法理解返回的內容中的回覆。
觀察到的瀏覽器行為如下：

• 使用Internet Explorer版本6 (IE6)和某些版本的IE7時，這些請求無法顯示HTML回覆的完整內容。瀏覽器僅接受前幾個位元組（第一個資料包中的內容）並忽略其餘位元組。在這種情況下，您會看到僅顯示幾個字元的不完整頁面。
  

  注意：如果是這種情況，思科建議您從WSA回覆中縮小預設通知頁面。有關如何編輯EUN頁的詳細資訊，請參閱WSA使用手冊的編輯IronPort通知頁部分。

• 當使用IE8和更新版本的Mozilla Firefox版本3時，瀏覽器會完全忽略WSA返回的回覆，並使用其自己的錯誤頁對其進行遮罩。此瀏覽器行為會破壞403通知的用途，並導致功能中斷。

解決方案

本節介紹在WSA上啟用HTTPS解密時發生的過程。解決上述問題的方法是，使用所提供的資訊，確保系統配置正確。

以下是傳送明確HTTPS要求時的流量範例：

• 啟用HTTPS解密時，WSA首先根據解密策略驗證請求。
  
  
• 如果請求標籤為PASSTHROUGH，則允許資料流透過（無警告或EUN）。
  
  
• 如果請求標籤為DECRYPTED，則根據訪問策略驗證請求。在這種情況下，如果將Access策略配置為使用WARN或BLOCK，則EUN頁會顯示正確。遺憾的是，對於Acknowledgement，使用者必須導航到HTTP頁面和Acknowledgement，這需要透過Proxy導航，然後導航到HTTPS站點。
  
  
• WSA會記住客戶端IP地址，並且在計時器到期之前不需要其他確認。