iis将http重定向到https不会处理出站规则

时间:2018-06-12 18:51:36

标签: iis url-rewriting http-headers

Windows Server 2008R2 / IIS 7.5。我有一条规则将所有http请求重定向到https,如下所示:

    <rule name="HTTPS Redirect">
      <match url="(.*)" />
      <conditions>
        <add input="{HTTPS}" pattern="^OFF$" />
      </conditions>
      <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
    </rule>

正如预期的那样,这已经完美地运作了。现在,对于PCI合规性,我们的ASV要求服务器类型/版本不显示在http标头中。所以我添加了这个出站规则:

  <outboundRules rewriteBeforeCache="true">
    <rule name="Response Server">
        <match serverVariable="RESPONSE_SERVER" pattern=".+" />
        <action type="Rewrite" />
    </rule>
  </outboundRules>

这适用于https对服务器的请求,Server:标头为空白,符合预期:

HTTP/1.1 200 OK =>
Cache-Control => private
Content-Length => 13049
Content-Type => text/html
Server =>
X-Frame-Options => DENY
Strict-Transport-Security => max-age=31536000;
Date => Tue, 12 Jun 2018 18:41:59 GMT
Connection => close

但对于http请求,服务器标头将返回重定向:

HTTP/1.1 301 Moved Permanently =>
Content-Type => text/html; charset=UTF-8
Location => https://www.example.com/
Server => Microsoft-IIS/7.5
Strict-Transport-Security => max-age=31536000;
Date => Tue, 12 Jun 2018 18:44:50 GMT
Connection => close
Content-Length => 151

outboundRules似乎没有处理。如何在所有情况下删除Server:标题?

1 个答案:

答案 0 :(得分:0)

我删除了我之前的答案。事实证明,添加名称为Server:的自定义标头可解决此问题。它愚弄some tools,但不是全部。甚至不是我为从Ajax调用转储头文件而创建的简单JavaScript。

我的最终解决方案是使用名为StripHeaders的Native-Code模块。 GitHub上提供了完整的源代码和MSI安装程序。

相关问题
最新问题