Как избежать вызова моего веб-сервиса ASMX как XSS?

На моем веб-сайте есть брандмауэр AWS Web App (WAF) (в дистрибутиве CloudFront). Когда я захожу на этот сайт с помощью браузера, все работает нормально. Когда я пытаюсь получить доступ к веб-службе ASMX на этом веб-сайте, она блокируется правилом межсайтовых сценариев. Какой аспект моего кода вызвал эту блокировку? Существуют ли какие-либо общие правила о том, что нужно и что нельзя делать, чтобы избежать такой блокировки?