由于存在已知用于跨站点脚本攻击的字符，因此禁止访问

Question

有人能告诉我以下HTTP错误消息是从哪里来的吗？

由于存在已知用于跨站点脚本攻击的字符，因此禁止访问。此网站不允许包含嵌入HTML标记的Urls。

我们使用动态生成的URL，在这种特殊情况下，URL包含字符'<‘或'>’‘.我们做URL编码生成的URL (所以'%3C‘开胃而不是'<')，但它没有帮助。

我们的设置是ASP.NET MVC /IIS7.5/ IE8。

这很奇怪，但是看起来这个错误只出现在一些机器上。因此，IE网域设置可能正在扮演一个角色。

Answer 1

您可能正在使用第三方插件，如SiteMinder，它试图通过拒绝带有HTML编码的URL来“保护”您的网站免受XSS攻击。

如果错误只出现在某些机器上，而不出现在其他机器上，请检查在这些机器上安装了哪些插件。移除它们直到找到罪魁祸首(然后重新安装其他的)。尝试配置该插件以允许URL。

想想你是否真的需要插件。如果有些服务器有它们，而另一些服务器没有它们，也许没有它们您会更好。

Answer 2

正如Konerak所说，如果您使用的是SiteMinder，那么它将返回403，并给出该消息以防止跨站点脚本攻击。

如果您正在运行一个面向外部的站点，此解决方案可能并不合适，但我们找到的避免此问题的最简单方法是编辑LocalConfig.conf文件以关闭XSS检查。

这里是这样的背景：

CSSChecking="NO"

文件就住在这里：

Program Files\netegrity\webagent\bin\IIS\LocalConfig.conf