关于网站csp(Content Security Policy)以及过滤服务器敏感信息的设置问题

最近一个客户通过专业工具扫描网站,发现了几个低等级的安全问题,其中有csp安全设置缺乏,http请求表头返回敏感信息未处理,跨站攻击防范未处理等,要求我们予以修复。

说实话,这类事情,国内很多人都没听说过,因为没人重视,也可能是有些人刻意为之的缘故吧,否则那些广告联盟的饭就不好吃了。。。。

废话少说,现在就把处理的过程简单记录下来:

首先是在网站配置文件里添加如下节点,用于csp设置,下面的例子设置为最严防范


  ...
  
  
    ...
    
      
                
        
      
    
  

然后是禁止iis返回服务器敏感信息,网上查了N种方法,都不行,要么是过时了,要么是没有效果,要么是应用范围比较窄。。。

最后同事在github上发现了一个开源的项目,可以轻松解决这个问题,现在也贴出来:

StripHeaders 项目入口

下载StripHeaders安装文件(.msi)

我们只要下载msi文件点击安装,然后重启iis就可以了。

做完之后,再打开网站,就会看到,所有返回的请求头里,server信息以及X-Powered-By、X-AspNet-Version、X-AspNetMvc-Version等都消失了,并且csp也正确反馈出来了。

注意:如果没有效果,或是页面报错了,可能是系统用户权限不足,需要手动注册一下这个StripHeaders。

可以用管理员权限打开命令行窗口,执行如下命令:

C:\Windows\System32\inetsrv\appcmd.exe install module /name:StripHeadersModule /image:%windir%\system32\inetsrv\stripheaders.dll /add:true /lock:true

然后再重启IIS服务,就可以了。

 

 

你可能感兴趣的:(服务器配置)