开发日志：IIS安全设置

为了办理IIS文件路径泄漏问题，可以采取以下措施：
  

---

  一. 详细操作
  1. CMD关闭NTFS 8.3文件格式的支持
  命令行：fsutil 8dot3name set 1
  2. 修改注册表禁用短文件名功能 CMD输入regedit回车，在注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem，将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1； (以上必要重启体系见效)
  3. 修改IIS根节点的请求筛选-拒绝序列-URL，增加拒绝的url为~的请求 设置参考下图：
  
  4. 重启IIS，整理缓存，重启电脑
  1)制止IIS： iisreset /stop
  2) 清空以下IIS缓存目录(删除Temporary ASP.NET Files目录中的文件)：
  C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files 与 C:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files
  3)重启电脑
  iis、apache、nginx使用X-Frame-Options防止网页被Frame的办理方法
  

---

  办理方案：
  修改web服务器设置，添加X-frame-options相应头。赋值有如下三种：
  (1)DENY：不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN：页面只能被本站页面嵌入到iframe大概frame中。
(3)ALLOW-FROM uri：只能被嵌入到指定域名的框架中。
  

  

  

  IIS环境检测到网站存在相应头缺失弊端办理办法

        

1. <system.webServer>
2.         <httpErrors errorMode="Detailed" />
3.         <httpProtocol>
4.             <customHeaders>
5.                 <add name="X-Content-Type-Options" value="nosniff" />
6.                 <add name="X-XSS-Protection" value="1" />
7.                 <add name="Strict-Transport-Security" value="max-age=31536000" />
8.                 <add name="X-Download-Options" value="noopen" />
9.                 <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
10.                 <add name="Referrer-Policy" value="origin-when-cross-origin" />
11.             </customHeaders>
12.         </httpProtocol>
13.     </system.webServer>

复制代码

     设置完后IIS HTTP相应头设置界面显示如下
      

         服务器版本信息泄漏                  修改设置文件 web.config 防止 ASP.Net 版本泄漏，详细如下： <System.Web>          <httpRuntime enableVersionHeader="false" /> </System.Web>
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。