詭異茶包 - 同網站下 WebForm 正常但 MVC 傳回 HTTP 503

今天遇上這幾年來數一數二有趣的詭異茶包，所幸憑藉老司機的經驗與直覺順利過關斬將，找出真相。

同事報案：某網站行為異常，起初頁面正常，執行到某幾個動作會卡住，久久沒反應。初步偵察，該環境僅有 IE 可用，且有 SSL 憑證未被信任的問題，即使一開始 IE 有忽略 SSL 憑證無效繼續的選項，但之後還是常陷入不尋常的無回應狀態。

決定放棄難以使喚的 IE，自己寫 PowerShell + C# 跑 WebClient.DownloadString() 拿第一手資訊，不要 IE 加進來攪局。但此時跳出兩隻小雜魚怪物攔路，分別是 SSL 憑證無效跟 TLS 1.0/1.1 停用。不打緊，這我有經驗：

• 解決 WebClient 存取 https 網站時 SSL 憑證不符問題
• C# 連線 HTTPS 網站發生驗證失敗導致基礎連接已關閉

加上 ServicePointManager.ServerCertificateValidationCallback = delegate { return true; }; 及 ServicePointManager.SecurityProtocol = (SecurityProtocolType)3072; 之後，已能成功用 WebClient.DownloadString() 取得 ASP.NET 網站回應。觀察到一個現象，網站同時有 WebForm 及 MVC，.aspx 是好的，MVC 卻會傳回 HTTP 503，模擬如下：

如上圖所示，WebForm.aspx 是好的，兩個 MVC 動作則傳回 503，接著馬上試 WebForm.aspx 卻是好的。這裡有兩點很吊詭：

1. 依我的理解，HTTP 503 多因 IIS AppPool 崩潰或停止造成，潰崩原因可能是伺服器太忙或網頁程式出現嚴重錯誤，被 IIS 也有保護機制判定連續出錯關閉。但是，如果真是 AppPool 崩壞，怎麼會有同一 AppPool 裡 WebForm.aspx 是好的，只有 MVC 吐回 503 的詭異結果。
2. AppPool 崩潰時，Windows 事件檢視器裡多半要留下「伺服應用程式集區 'XXX' 的處理序與 World Wide Web Publishing 服務通訊時發生嚴重錯誤。」之類的訊息，但問題主機的事件檢視器很乾淨，沒有半則相關錯誤，這跟過往的經驗大不相同。

由於該功能很長一段時間沒用了，再想了幾種可能，主要集中在 MVC 與 WebForm 的差異上：.NET Framework 版本不對？某個 Windows Update 把 MVC 搞壞？但這些猜測很難解釋上述兩項疑點。

靈光一現，我有個大膽的想法...

會不會，這個 HTTP 503 回應並非源於 AppPool 崩壞，而是 MVC 程式自己捏造的？

請同事用 503 關鍵字搜尋程式碼卻無所獲，有點失望，心想猜錯了；隔了幾分鐘，不死心再請同事找 Unavailable 關鍵字，啊哈! BINGO!

找到 MVC 程式中有一段存取權限檢查，在檢核失敗時傳回 System.Net.HttpStatusCode.ServiceUnavailable!

附上我前面模擬 HTTP 503 的 MVC 程式當成示範：

using System.Web;
using System.Web.Mvc;
using System.Web.Mvc.Filters;

namespace DemoWeb.Controllers
{
    public class MvcActionsController : Controller
    {
        [MyAuthFilter]
        public ActionResult Index()
        {
            return Content("OK");
        }
        [MyAuthFilter]
        public ActionResult Query()
        {
            return Content("OK");
        }
    }

    public class MyAuthFilterAttribute : ActionFilterAttribute, IAuthenticationFilter
    {
        bool CheckAuthToken(HttpRequestBase request) => false;
        public void OnAuthentication(AuthenticationContext filterContext)
        {
            if (!CheckAuthToken(filterContext.HttpContext.Request))
            {
                filterContext.Result = new HttpStatusCodeResult(
                    System.Net.HttpStatusCode.ServiceUnavailable);
            }
        }

        public void OnAuthenticationChallenge(AuthenticationChallengeContext filterContext)
        {
            
        }
    }
}

存取被拒回傳 HTTP 503 這招的欺敵效果十足，說起來也具有防駭功用，只是當偵錯時遇上，就變成坑了，哈。

Experience of solving a "WebForm OK, but MVC return HTTP 503" issue. It turns out that the 503 is throwed by a piece of MVC code.