IIS - RequestFiltering para #

La cadena que sigue a # es el 'identificador de fragmento' y normalmente se usa para navegar a un elemento de anclaje dentro de un documento HTML (pero aquí se usa para simular la navegación de URL en una aplicación de una sola página).

El identificador del fragmento es utilizado exclusivamente por el lado del cliente del navegador y ni siquiera está incluido en la solicitud al servidor web, por lo que no puede filtrarlo en el lado del servidor en IIS o en cualquier otro servidor.

(No debe confiar en el filtrado de solicitudes de ASP.NET para la seguridad. Este es solo uno de los lugares donde falla).

Puedes intentar 'filtrarlo' en el lado del cliente incluyendo una ejecución <script> antes de cualquier otra secuencia de comandos, que sabotea la página y se niega a cargar más secuencias de comandos si detecta algo que considera 'malo' en location.hash , pero eso todavía está sujeto a todos los modos de falla de detección de entrada de lista negra que hacen que la Validación de la Solicitud sea una pérdida de tiempo para todos.

¿Qué navegador es este? Esto debería ser bloqueado automáticamente por el filtro Chromes XSS. Yo diría que el primer paso sería configurar un CSP adecuado enlace

Después de comenzar a mitigar los riesgos asociados con un compromiso, como el uso de cookies de solo http, el token CSRF y THEN, comience a hacer filtros de clientes como lo sugiere Bobince.