我在测试一个API时遇到了间歇性的403错误，结果发现如果URL中的任何地方碰巧有文本“_REQUEST”，就会发生这种错误。我已经发现了问题，但找不到触发这种行为的安全机制（在我看来很愚蠢）。
我已经将最初的复杂场景简化为：

mydomain.com/?foo=_REQUEST   => causes 403

mydomain.com/?foo=_REQUES    = is fine

这是一个测试主机，在Windows 2008 AWS，XAMP 3.2.1，PHP版本=〉5.5.3上，一切都是开箱即用的配置。
我读到了mod_security，但在我httpd.conf中找不到它。
这是一个已知的PHP安全机制，还是XAMP添加的东西，或者是Apache的特性？