【问题标题】:Removing / hiding the Http Headers删除/隐藏 Http 标头
【发布时间】:2014-01-27 19:01:02
【问题描述】:

参考以下论坛

Removing/Hiding/Disabling excessive HTTP response headers in Azure/IIS7 without UrlScan

我可以轻松隐藏服务器信息等 http 标头,但我仍然无法获取信息。

是否可以在标题中隐藏 Allow 和 Public 方法?请分享

HTTP/1.1 200 OK
**Allow: OPTIONS, TRACE, GET, HEAD, POST**
Date: Thu, 09 Jan 2014 09:37:00 GMT
**Public: OPTIONS, TRACE, GET, HEAD, POST**
Content-Length: 0
Connection: keep-alive

【问题讨论】:

  • 触发此响应的请求是什么?
  • OPTIONS /Main.aspx HTTP/1.1 主机:mywebsite.com 内容长度:2
  • 返回给定资源上允许的方法是 OPTIONS 请求的唯一目的。如果您从该响应中删除这些标头,则该响应将变得毫无意义。
  • @CodeCaster 上面的请求给出了响应...有什么办法吗?
  • 如果是这样...没关系...我们需要避免其他人分析我们的服务器..

标签: asp.net post http-headers


【解决方案1】:

就像我在 cmets 中所说的,您不想从对 OPTIONS 请求的响应中删除这些标头,因为该请求会询问服务器可以在给定资源,在本例中为 /Main.aspx

响应包含AllowPublic 标头中允许的方法。如果您删除这些标头,则响应将变得毫无意义。

如果您想完全禁用 OPTIONS 请求,请参阅 Disable HTTP OPTIONS, TRACE, HEAD, COPY and UNLOCK methods in IIS

【讨论】:

  • 他们会阻止 POST 选项,因为我需要这个动词......我不想明确声明我们的系统使用 POST 并允许。请给我澄清一下...
  • 现在谁来做什么?
  • 我不明白你的意思。 :-) 你的意思是?如果您单击该链接,您会看到您可以禁用特定动词,因此您可以完全阻止仅处理 OPTIONS 请求。
  • 通过在配置中添加这些?
  • 该配置强制动词或方法OPTIONSTRACEHEAD 通过默认的HTTP 处理程序运行。然后,您还需要在system.webauthorization 部分中使用<deny verbs="OPTIONS" users="*" />(以及您要禁用的其他动词)。
【解决方案2】:

无论如何,标题都应该被隐藏...不太清楚这里发生了什么。您是否刷新了主要参考文件。

【讨论】:

    猜你喜欢
    • 2010-12-28
    • 1970-01-01
    • 1970-01-01
    • 2011-05-26
    • 2018-04-24
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多