在 IIS 中增加相关安全 HTTP 头信息配置

参考:https://www.cnblogs.com/oneapm/p/5168793.html

在相应站点的 web.config 中增加以下配置即可,相关头内容的用途说明可参考以上文章或自行搜索。

<configuration>
    <system.webServer>
        
        <stripHeaders>
          <header name="Server" />
          <header name="X-Powered-By" />
          <header name="X-Aspnet-Version" />
        stripHeaders>
        
        <httpProtocol>
            <customHeaders>
                <remove name="X-Powered-By" />
                <add name="Content-Security-Policy" value="default-src 'self' 'unsafe-inline' data:" />
                <add name="X-Frame-Options" value="SAMEORIGIN" />
                <add name="X-XSS-Protection" value="1" />
                <add name="X-Content-Type-Options" value="nosniff" />
                <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
                <add name="X-Download-Options" value="noopen" />
            customHeaders>
        httpProtocol>
    system.webServer>
configuration>
IIS

相关

IIS+上传4G文件

vue@3+上线部署IIS非根目录

.NET6开发时支持IIS

thinkphp5 在IIS8.5下隐藏index.php

[转载]IIS中间件渗透总结

IIS 设置网站域名重定向(Url转发)页面跳转

用户 IIS APPPOOL\DefaultAppPool 登录失败的解决方法

Angular前端项目发布到IIS

IIS 405 Method Not Allowed (delete)

.net core发布iis遇到的坑

.NET5 ASP.NET CORE 发布到IIS 文件无法替换

IIS6批量转移网站

标签