我在哪里可以看到Server http标头?

时间:2017-07-13 13:45:28

标签: security http-headers

我们的一个应用程序由Whitehat Sentinel测试,他们的一个发现是,在某些情况下,我们的服务器响应标头设置为:

  
    

微软HTTPAPI / 2.0

  

我尝试访问他们使用Postman和Fiddler识别的URL,但我没有看到Server标头。我还尝试过在线网络嗅探器http://web-sniffer.net/

有人可以建议我如何看到这个标题吗?

在Chrome网络标签中,我看到了这些标题

HTTP/1.1 404 Not Found
Content-Type: text/html
Strict-Transport-Security: max-age=300
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Date: Thu, 13 Jul 2017 13:59:15 GMT
Content-Length: 1245 

没有服务器标题。

Whitehat报告的网址对我不起作用,我将目标网址更改为domain.com/%%,这导致请求由http.sys处理,并返回Server属性。

1 个答案:

答案 0 :(得分:1)

这不是标题的名称。这是当应用程序通过Server通过HTTP提供文件时在http.sys标头中找到的值,HttpListener是Windows内置的内核模式HTTP服务器。

例如,当通过C#Server: Microsoft-HTTPAPI/2.0 提供文件时,我得到了这个标题:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

可以通过设置以下注册表值来禁用此标头:

  • 键:DisableServerHeader
  • 姓名:DWORD
  • 输入:1
  • 价值:SecItemCopyMatching