IIS - RequestFiltering per #

La stringa che segue # è l '"identificatore di frammento" ed è normalmente utilizzata per navigare verso un elemento di ancoraggio all'interno di un documento HTML (ma qui viene utilizzato per simulare la navigazione degli URL in un'applicazione a singola pagina).

L'identificatore di frammento viene utilizzato esclusivamente dal browser lato client e non è nemmeno incluso nella richiesta al server Web, quindi non è possibile filtrarlo sul lato server in IIS o in qualsiasi altro server.

(Non dovresti fare affidamento sul filtraggio delle richieste ASP.NET per sicurezza: questo è solo uno dei posti in cui non riesce.)

Potresti provare a "filtrarlo" sul lato client includendo un <script> eseguito prima di qualsiasi altro script, che sabota la pagina e rifiuta di caricare altri script se rileva qualcosa che considera "cattivo" in location.hash , ma è ancora soggetto alle stesse modalità di errore dello sniffing dell'input della lista nera che rendono la convalida delle richieste uno spreco di tempo per tutti.

Che browser è questo? Questo dovrebbe essere automaticamente bloccato dal filtro Chromes XSS. Direi che il primo passo sarebbe quello di creare un CSP appropriato link

Dopo l'inizio, attenuando i rischi associati a un compromesso, come l'uso di cookie solo http, il token CSRF e THEN, inizia a fare i filtri client come suggerito da bobince.