我在哪里可以看到服务器 http 标头?

【问题标题】:Where can I see Server http header?我在哪里可以看到服务器 http 标头?
【发布时间】:2017-12-18 08:22:16
【问题描述】:

Whitehat Sentinel 测试了我们的一个应用程序,他们的一项发现是,在某些情况下,我们的服务器响应标头设置为:

微软-HTTPAPI/2.0

我已尝试访问他们使用 Postman 和 Fiddler 识别的 URL,但我没有看到 Server 标头。我也试过在线网络嗅探器http://web-sniffer.net/

有人可以告诉我如何看到这个标题吗?

在 Chrome 网络标签中,我看到了这些标题

HTTP/1.1 404 Not Found
Content-Type: text/html
Strict-Transport-Security: max-age=300
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Date: Thu, 13 Jul 2017 13:59:15 GMT
Content-Length: 1245

没有服务器标头。

Whitehat 报告的 URL 对我不起作用,我将目标 URL 更改为 domain.com/%%,这导致请求由 http.sys 处理并返回 Server 属性。

【问题讨论】:

    标签: security http-headers


    【解决方案1】:

    这不是标题的名称。当应用程序通过http.sys(Windows 内置的内核模式 HTTP 服务器)通过 HTTP 提供文件时,这是在 Server 标头中找到的值。

    例如,当通过 C# HttpListener 提供文件时,我会得到这个标头:

    Server: Microsoft-HTTPAPI/2.0

    可以通过设置以下注册表值来禁用此标头:

    • 密钥:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
    • 姓名:DisableServerHeader
    • 类型:DWORD
    • 值:1

    【讨论】:

    • 是的,对不起,我会改写问题。虽然我没有看到服务器标头。
    • 您确定您的工具不只是将其隐藏为不重要的吗?我通常使用 Firefox 开发工具的 Network 选项卡。
    • 另外,您确定要发送完全相同的请求吗?有效请求可能不会收到Server 标头,因为它们是由应用程序的代码处理的。无效请求永远不会进入应用程序的代码并由http.sys 在内部处理,从而获得默认标头。例如:blog.paulbouwer.com/2013/01/09/…
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-07-07
    • 1970-01-01
    • 2021-12-02
    • 1970-01-01
    • 2014-01-13
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode