Из-за присутствия символов, о которых известно, что они используются в атаках с использованием межсайтовых сценариев, доступ запрещен

Question

Может кто-нибудь сказать мне, откуда приходит следующее сообщение об ошибке HTTP:

Из-за присутствия символов, которые, как известно, используются в атаках с использованием межсайтовых сценариев, доступ запрещен.Этот веб-сайт не допускает URL-адреса, которые могут включать встроенные теги HTML.

Мы используем динамически генерируемые URL-адреса, и в данном конкретном случае URL-адрес содержит символы «<» или «>».Мы URL кодируем сгенерированный URL (поэтому вместо «<» используется «% 3C», но это не помогает. </p>

Наша настройка - ASP.NET MVC / IIS 7.5 / IE8.

Странно, но похоже, что ошибка появляется только на некоторых машинах.Возможно, настройки интернет-зоны IE играют свою роль.

Answer 1

Возможно, вы используете сторонний плагин, например SiteMinder, который пытается "защитить" ваш сайт от атак XSS, отклоняя URL-адреса с закодированным в них HTML-кодом.

Если ошибка появляется только в некоторыхмашины, а не на других, проверьте, какие плагины установлены на этих машинах.Удалите их, пока не найдете преступника (затем переустановите остальных).Попробуйте настроить этот плагин так, чтобы он разрешал URL-адреса.

Подумайте, действительно ли вам нужны плагины или нет.Если на некоторых серверах они есть, а на других нет, возможно, вам лучше без них.

Answer 2

Как говорит Конерак, если вы используете SiteMinder, он вернет 403 и выдаст вам это сообщение, чтобы предотвратить атаки межсайтовых скриптов.

Это решение может быть неуместным, если вы работаете с внешним сайтом, но мы нашли самый простой способ избежать проблемы - отредактировать файл LocalConfig.conf, чтобы отключить проверку XSS.

Это настройка:

CSSChecking="NO"

И файл живет здесь:

Program Files\netegrity\webagent\bin\IIS\LocalConfig.conf