Aufgrund der Anwesenheit von Zeichen bekannt, um verwendet werden, Cross-Site-Scripting-Angriffe, Zugriff ist verboten
Kann mir jemand sagen, wo kommt der folgende HTTP-Fehlermeldung kommt:
Aufgrund der Anwesenheit von Zeichen bekannt, um verwendet werden, Cross-Site-Scripting-Angriffe, ist der Zugriff verboten. Diese Website wird nicht zulassen, dass Urls, die möglicherweise mit eingebetteten HTML-tags.
Sind wir mit dynamisch generierten URLs und in diesem speziellen Fall die URL enthält die Zeichen '<' oder '>'. Wir tun URL-Kodieren Sie die generierte URL (also '%3C' appeary anstelle von '<') aber es hilft nicht.
Unserem setup ist ASP.NET MVC /IIS 7.5 /IE8.
Es ist seltsam, aber wie es aussieht tritt der Fehler nur auf einigen Maschinen. Es könnte also sein, dass die IE-internet-zone-Einstellungen spielen eine Rolle.
- Wenn es nur ein paar Maschinen, ich würde schauen bei anti-virus-erste...
- Mithilfe Von SiteMinder?
- Es ist wahrscheinlich aus dem web-server, mit dem Sie eine Verbindung herstellen möchten, mit Ihrer HTTP-Anfrage. Es ist die Ablehnung des Antrags wegen der Zeichen, die angezeigt werden HTML.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Sind Sie wahrscheinlich mit einem Drittanbieter-plugin, wie SiteMinder, der versucht zu "schützen" Ihre Webseite vor XSS-Angriffen, durch die Ablehnung URLs mit HTML codiert in Ihnen.
Wenn der Fehler erscheint nur auf einigen Computern und nicht auf andere, überprüfen, welche plugins installiert sind, die auf diesen Maschinen. Entfernen Sie Sie, bis Sie den Schuldigen finden (installieren Sie dann die andere). Versuchen Sie es konfigurieren, das plugin zu ermöglichen, um die URLs.
Überlegen Sie sich, ob Sie wirklich brauchen, die plugins oder nicht. Wenn einige Server, die Sie haben und andere nicht, vielleicht sind Sie besser dran ohne Sie.
Als Konerak sagt, wenn Sie SiteMinder-dann wird es wieder 403 und geben Sie die Nachricht, um zu verhindern, dass cross-site-scripting-Angriffe.
Diese Lösung möglicherweise nicht angemessen sein, wenn Sie eine externe Website, aber der einfachste Weg, die wir gefunden haben, um das problem zu vermeiden war die Bearbeitung der
LocalConfig.conf
Datei zum ausschalten des XSS überprüfen.Dies ist die Einstellung:
CSSChecking="NO"
Und die Datei hier lebt:
Program Files\netegrity\webagent\bin\IIS\LocalConfig.conf