在IIS中为301重定向设置自定义响应正文

Question

在将网站引入PCI合规性时，我遇到了一个报告的漏洞，当使用这样的301重定向响应时，IIS6 301重定向：

HTTP/1.1 301 Moved Permanently
Date: Thu, 15 May 2014 18:37:36 GMT
Server: Microsoft-IIS/6.0
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Content-Length: 251
Location: http://www.xxxxxx.com/no5_such3_file7.pl?"><script>alert(12345);</script>
<html><body>
The requested resource was moved. It could be found here: 
<a href="http://www.xxxxxx.com/no5_such3_file7.pl?"><script>alert(12345);</script>">
http://www.xxxxxx.com/no5_such3_file7.pl?><script>alert(12345);</script></a>
</body></html>

根据PCI扫描，这可以允许在浏览器中进行脚本注入，这些浏览器在遇到“位置”标题时不会忽略响应的主体。

为了解决这个问题，我想我可以添加/更改重定向规则来过滤来自查询字符串的潜在危险文本（我真的不想这样做）或者更改正文中为301重定向发送的文本。 我更倾向于不在响应体中发送任何内容而不是在我的重定向规则中尝试计算攻击。 如何自定义正文中返回的文本以进行301重定向？ 我试图通过IIS添加自定义错误页面，但它似乎不支持301的自定义方法。 我需要这个在IIS6当前和IIS7 +在不久的将来工作，所以任何适用于其中一个或两个版本的解决方案都是受欢迎的。

编辑 - 此外，这会产生SEO后果吗？ 我认为谷歌等会像大多数浏览器一样忽略301重定向的响应主体，但我希望避免因排除响应主体而受到惩罚。

Answer 1

因为我有兴趣做同样的事情，所以我碰到了这个。

我最终使用出站规则来改变主体，以便删除任何相关的IP地址等。

仍然有兴趣知道是否有更好的东西。