在 IIS 中增加相关安全 HTTP 头信息配置

本文转载自查看原文 2021-12-03 14:12 738 IIS

参考：https://www.cnblogs.com/oneapm/p/5168793.html

更多参考：http://www.ruanyifeng.com/blog/2016/09/csp.html

在相应站点的 web.config 中增加以下配置即可，相关头内容的用途说明可参考以上文章或自行搜索。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <!-- 
            移除 HTTP 头信息，需要安装：https://github.com/Dionach/StripHeaders
            若安装后没有效果，请执行：
            C:\Windows\System32\inetsrv\appcmd.exe install module /name:StripHeadersModule /image:%windir%\system32\inetsrv\stripheaders.dll /add:true /lock:true
            执行后重启 IIS 即可。
        -->
        <stripHeaders>
          <header name="Server" />
          <header name="X-Powered-By" />
          <header name="X-Aspnet-Version" />
        </stripHeaders>
        <!-- 增加为了安全的 HTTP 头信息 -->
        <httpProtocol>
            <customHeaders>
                <remove name="X-Powered-By" />
                <add name="Content-Security-Policy" value="frame-ancestors 'self'; default-src 'self' 'unsafe-inline' 'unsafe-eval' blob: data:" />
                <add name="X-Frame-Options" value="SAMEORIGIN" />
                <add name="X-XSS-Protection" value="1" />
                <add name="X-Content-Type-Options" value="nosniff" />
                <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
                <add name="X-Download-Options" value="noopen" />
                <add name="Referrer-Policy" value="origin-when-cross-origin" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 HTTP 安全头配置 http中消息头的安全配置及工作原理 php http头设置相关信息 HTTP安全响应头 Jmeter之HTTP常用配置元件（默认、头信息和cookies） IIS安全工具UrlScan介绍 ASP.NET 两种超强SQL 注入免费解决方案( 基于IIS,使用免费工具) 批改或隐藏IIS7.5的Server头信息移除X-Powered-By,MVC,ASP.NET_SessionId 的 HTTP头或者cookie名称 jmeter创建http请求，测试接口信息。（http信息头管理器配置） java中如何设置HTTP协议的头信息（header）详解Nginx中HTTP的keepalive相关配置详解Nginx中HTTP的keepalive相关配置