为IIS中的301重定向设置自定义响应正文_Iis_Iis 7_Iis 6_Xss_Pci Compliance

为IIS中的301重定向设置自定义响应正文

iis iis-7

为IIS中的301重定向设置自定义响应正文,iis,iis-7,iis-6,xss,pci-compliance,Iis,Iis 7,Iis 6,Xss,Pci Compliance,在将站点纳入PCI合规性时，我遇到了一个报告的IIS6 301重定向漏洞，当使用301重定向进行响应时，如下所示： HTTP/1.1 301 Moved Permanently Date: Thu, 15 May 2014 18:37:36 GMT Server: Microsoft-IIS/6.0 Pragma: no-cache Cache-Control: no-cache Content-Type: text/html Content-Length: 251 Location: http

在将站点纳入PCI合规性时，我遇到了一个报告的IIS6 301重定向漏洞，当使用301重定向进行响应时，如下所示：

HTTP/1.1 301 Moved Permanently
Date: Thu, 15 May 2014 18:37:36 GMT
Server: Microsoft-IIS/6.0
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Content-Length: 251
Location: http://www.xxxxxx.com/no5_such3_file7.pl?"><script>alert(12345);</script>
<html><body>
The requested resource was moved. It could be found here: 
<a href="http://www.xxxxxx.com/no5_such3_file7.pl?"><script>alert(12345);</script>">
http://www.xxxxxx.com/no5_such3_file7.pl?><script>alert(12345);</script></a>
</body></html>

HTTP/1.1 301永久移动
日期：2014年5月15日星期四18:37:36 GMT
服务器：Microsoft IIS/6.0
Pragma：没有缓存
缓存控制：没有缓存
内容类型：text/html
内容长度：251
地点：http://www.xxxxxx.com/no5_such3_file7.pl?“>警报（12345）；
请求的资源已移动。可在此处找到：

根据PCI扫描，这可以允许在浏览器中注入脚本，在遇到“location”头时不会忽略响应体

为了解决这个问题，我想我可以添加/更改重定向规则来过滤来自querystring的潜在危险文本（我真的不想这么做）或者更改正文中为301重定向发送的文本。我宁愿不在响应正文中发送任何内容，也不愿尝试在重定向规则中说明攻击。如何自定义正文中为301重定向返回的文本？我尝试通过IIS添加自定义错误页，但它似乎不支持该方法为301的定制。我需要这在IIS6当前和IIS7+在不久的将来工作，所以任何适用于其中一个或两个版本的解决方案都是受欢迎的

编辑——另外，这可能会对SEO产生影响吗？我假设谷歌和其他类似公司会像大多数浏览器一样忽略301重定向的响应主体，但我希望避免因为排除响应主体而受到惩罚。

我之所以会这样做，是因为我有兴趣做同样的事情

最后，我使用了一个修改主体的命令，以便删除任何相关的IP地址等

仍然有兴趣知道是否有更好的