我正在研究提高ASP.net应用程序HTTP响应标头的安全性,为此,我希望删除/隐藏下面显示的服务器字段,以避免暴露IIS版本号。
建议将以下行添加到Web.conifg文件的<system.web>
部分中-我确实做了此操作,但标题没有变化。
<httpRuntime enableVersionHeader="false" />
我还在<system.webServer>
内添加了以下条目,以进一步尝试限制标题信息/提高网站安全性。
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="*" />
<add name="X-Content-Type-Options" value="nosniff" />
<add name="X-Xss-Protection" value="1; mode=block" />
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" />
</customHeaders>
</httpProtocol>
</system.webServer>
我正在处理的项目在包含多个其他项目的解决方案中。到目前为止,我已经在这个特定项目的web.config中进行了这些更改-不确定是否需要在解决方案中的其他地方进行更改才能看到这些配置更改生效?
我无法更改IIS服务器设置,因此无法创建URLrewrite规则,并且IIS 10的 removeServerHeader 属性不需要。 / p>
任何帮助将不胜感激。
谢谢, 最高