Предотвращение X-XSS-Protection не работает

IE изменяет мои страницы и автоматически ставит # в гиперссылки, когда я перенаправляю страницу через JavaScript.

Вот сообщение, которое я вижу:

Internet Explorer изменил эту страницу, чтобы предотвратить межсайтовые сценарии.
Нажмите здесь, чтобы получить дополнительную информацию ...

введите описание изображения здесь

Я попробовал следующие два метода, чтобы программно запретить IE делать это.

<meta http-equiv="X-XSS-Protection" content="0">

Через Coldfusion:

<cfheader name="X-XSS-Protection" value="0">

Но ни один из них у меня не работал. Что я делаю не так?

Для перенаправления я делаю простой javascript, например:

windows.location = "?param1=val_1&param2=val_2";

/* Sample URL to redirect:
?grp=3&set=1&KEYWORDS=&BADWORDS=&jt_BADWORDS=&OPT='or'&JOBTITLE=&searchType=full&zipcode=&radius=9999&EMPLOYER=&Edu_Keywords=&RDfrom=&RDto=01/07/2013&FULLNAME=test&EX_C=1&JT_C=1&JT_B=1&EMAIL=&BOOL1=1&BOOL2=1&stateField='All'&CountryField='All'&sourcenames=0&RemovePrev=&my_thumbsup=&prev_sent_clients=&is_bounce_back=&is_refused=&getmarketproducts=&experience=&JOBINDUSTRY=&Specialization=&SubDiscipline=&Certification=&EDUCATION=&bool=1&seniority=&Sen_cur=1&sort=score,max_res_date&RemoveEmailed=&Removeemailed_Anyone=&experimental=1&paging_clicked=1
*/

internet-explorer coldfusion coldfusion-9 coldfusion-8 coldfusion-10
person Adil Malik    schedule 07.01.2013    source источник
comment
Это просто javascript или то же самое происходит с метаобновлением и cflocation?   -  person Dan Bracuk    schedule 07.01.2013
comment
@DanBracuk Мое требование - перенаправить с помощью javascript. Я не уверен, случится ли это и с cflocation.   -  person Adil Malik    schedule 08.01.2013
comment
Вместо того, чтобы отключать защиту браузера, я лучше исправлю проблему. Вы знаете, почему IE предполагает межсайтовую проблему? Можете ли вы опубликовать часть своего кода? См. Этот фильтр XSS IE8: что он на самом деле делает? .   -  person Miguel-F    schedule 08.01.2013
comment
@ Miguel-F Вот где я запутался. Я перенаправляю внутри домена. Но IE по-прежнему применяет prevent cross-site scripting.   -  person Adil Malik    schedule 08.01.2013
comment
@ Miguel-F Я добавил код в OP.   -  person Adil Malik    schedule 08.01.2013
comment
Цель вашего перенаправления - просто добавить параметры строки запроса? Эти параметры содержат код javascript?   -  person Miguel-F    schedule 08.01.2013
comment
@ Miguel-F На моей странице я разбиваю на страницы, чтобы показать результаты. Цель перенаправления - перенаправить пользователя на следующую страницу результата.   -  person Adil Malik    schedule 08.01.2013
comment
Есть ли в этом URL-адрес скрипт (код)? Каковы некоторые примеры значений для val_1 и val_2?   -  person Miguel-F    schedule 08.01.2013
comment
@ Miguel-F .. Я добавил образец URL в исходный пост.   -  person Adil Malik    schedule 08.01.2013
comment
Вы пробовали кодировать строку? Попробуйте что-нибудь вроде этого: window.location = "index.html?" + encodeURIComponent("param1=val_1&param2=val_2");. Вот справочная информация для вас Лучшая практика: escape или encodeURI / encodeURIComponent   -  person Miguel-F    schedule 08.01.2013
comment
@AdilMalik, даже если ваше требование - переместиться с помощью js, использование других методов может помочь вам изолировать проблему.   -  person Dan Bracuk    schedule 08.01.2013
comment
@ Miguel-F encodeURIComponent также преобразует & в шестнадцатеричный формат. Из-за этого мой серверный язык не может анализировать URL-адрес. Я не могу расшифровать URL-адрес на стороне сервера. Поскольку приложение очень большое, а URL-адрес используется в тысячах мест.   -  person Adil Malik    schedule 08.01.2013
comment
Я думаю, что проблема в параметрах, содержащих символ одинарной кавычки. В вашем примере: OPT='or'&stateField='All'&CountryField='All'. Можете ли вы удалить этого персонажа из своих параметров? Они не должны быть обязательными в URL-адресе.   -  person Miguel-F    schedule 08.01.2013
comment
@ Miguel-F. Я пытался убежать от этого персонажа и даже удалить этих персонажей ... но безуспешно.   -  person Adil Malik    schedule 08.01.2013
comment
Тот же код работает в Chrome и FF. Вот почему я пытался отключить проверку межсайтовых сценариев IE. Думаю, это было бы самым простым и кратчайшим решением. Любое другое решение придется применить ко всему моему сайту. Конечно, это кошмар.   -  person Adil Malik    schedule 08.01.2013
comment
Черт! Я был уверен, что проблема в одинарных кавычках. Да, IE - единственный браузер с такой проверкой XSS. Кодирование строки может быть единственным ответом, но для этого потребуется декодирование на сервере. Итак, возвращаясь к вашему исходному вопросу, из того, что я прочитал, метатег не будет работать, но отправка в виде заголовка должна. Не уверен, почему ваш cfheader не работал. Кто-то еще?   -  person Miguel-F    schedule 08.01.2013
comment
Действительно ли действительна только часть URL-адреса, содержащая строку запроса - без какой-либо части файла? Или, во всяком случае, действителен для IE?   -  person Adam Cameron    schedule 08.01.2013