Я пытаюсь улучшить безопасность заголовков ответов HTTP нашего приложения ASP.net, и поэтому я хочу удалить / скрыть поле сервера, показанное ниже, чтобы избежать раскрытия номера версии IIS.
Было предложено добавить следующую строку в раздел <system.web> файла Web.conifg - что я сделал и не увидел никаких изменений в заголовке.
<httpRuntime enableVersionHeader="false" />
Я также добавил следующие записи в <system.webServer> для дальнейших попыток ограничить информацию заголовка / повысить безопасность сайта.
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="*" />
<add name="X-Content-Type-Options" value="nosniff" />
<add name="X-Xss-Protection" value="1; mode=block" />
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" />
</customHeaders>
</httpProtocol>
</system.webServer>
Проект I 'Я работаю над решением, состоящим из нескольких других проектов. До сих пор я вносил эти изменения в web.config этого конкретного проекта - не уверен, есть ли что-то, что мне нужно изменить в другом месте решения, чтобы эти изменения конфигурации дали эффект?
Я не могувнести изменения в настройку сервера IIS, чтобы не создавать правило URLrewrite, и оно не должно быть необходимым для атрибута removeServerHeader IIS 10.
Любая помощь будетс благодарностью.
Спасибо, Макс