在IIS中為301重定向設置自定義響應正文

Question

在將網站引入PCI合規性時，我遇到了一個報告的漏洞，當使用這樣的301重定向響應時，IIS6 301重定向：

HTTP/1.1 301 Moved Permanently
Date: Thu, 15 May 2014 18:37:36 GMT
Server: Microsoft-IIS/6.0
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/html
Content-Length: 251
Location: http://www.xxxxxx.com/no5_such3_file7.pl?"><script>alert(12345);</script>
<html><body>
The requested resource was moved. It could be found here: 
<a href="http://www.xxxxxx.com/no5_such3_file7.pl?"><script>alert(12345);</script>">
http://www.xxxxxx.com/no5_such3_file7.pl?><script>alert(12345);</script></a>
</body></html>

根據PCI掃描，這可以允許在瀏覽器中進行腳本注入，這些瀏覽器在遇到“位置”標題時不會忽略響應的主體。

為了解決這個問題，我想我可以添加/更改重定向規則來過濾來自查詢字符串的潛在危險文本（我真的不想這樣做）或者更改正文中為301重定向發送的文本。 我更傾向於不在響應體中發送任何內容而不是在我的重定向規則中嘗試計算攻擊。 如何自定義正文中返回的文本以進行301重定向？ 我試圖通過IIS添加自定義錯誤頁面，但它似乎不支持301的自定義方法。 我需要這個在IIS6當前和IIS7 +在不久的將來工作，所以任何適用於其中一個或兩個版本的解決方案都是受歡迎的。

編輯 - 此外，這會產生SEO后果嗎？ 我認為谷歌等會像大多數瀏覽器一樣忽略301重定向的響應主體，但我希望避免因排除響應主體而受到懲罰。

Answer 1

因為我有興趣做同樣的事情，所以我碰到了這個。

我最終使用出站規則來改變主體，以便刪除任何相關的IP地址等。

仍然有興趣知道是否有更好的東西。