【问题标题】:Remove the Server header from IIS 10 403 Forbidden error page从 IIS 10 403 Forbidden 错误页面中删除服务器标头
【发布时间】:2021-09-27 18:13:30
【问题描述】:

我们有托管在 IIS 10 上的 ASP.NET MVC 应用程序。为了关闭漏洞Information disclosure,我们需要删除所有泄露 Web 服务器信息的标头,例如 ServerX-Powered-By 等。

我们已启用删除此标头的所有选项,但是当我们请求一些不存在的页面时,例如/Controller/Action",我们收到带有服务器标头的 403 Forbidden error page。

我已经尝试过 URL Rewrite 规则,编辑注册表,向 web.config 添加一些属性,但它不起作用。

我怎样才能删除它?

【问题讨论】:

  • 请问您目前是如何删除server 标头的?
  • 您好,请问下面提供的解决方案是否有效?顺便说一句,您也可以尝试使用“ctrl + F5”或新的私人窗口刷新浏览器来逃避缓存。

标签: asp.net-mvc iis


【解决方案1】:

正如你提到的,启用了所有选项来删除标题,所以我认为你可以在web.config 中使用如下配置。

<security>
  <requestFiltering removeServerHeader="true" />
</security>

除此之外,您还可以使用 url rewrite 来删除 server 标头。 Url rewrite 可以过滤所有响应并删除您指定要删除的标头。您可以参考以下步骤:

1.安装“url rewrite”扩展。

2. 打开你的 IIS 管理器,双击“url rewrite”并点击“View Server Variables”

3.点击“添加”按钮添加一个名为“RESPONSE_SERVER”的变量。

4.回到“url rewrite”并添加出站规则。

5.然后使用以下信息创建规则。

创建此规则后,我们可以过滤所有出站响应并删除 server 标头。这个解决方案也可以参考this document

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2016-05-09
    • 1970-01-01
    • 2021-01-22
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多