Используйте конфигурацию .htaccess или IIS, чтобы проверить заголовок запроса ACCEPT для подстановочных знаков, а затем запретить синтаксический анализ файлов XML или XSLT в виде простого текста:
RewriteCond %{HTTP_ACCEPT} \*.\*$
ReWriteRule .*\.(xsl|xml)$ - [F]