ZAP 扫描报告指示检测到 2 个代理服务器或指纹识别。 它说它对我们的网址做了一个GET和POST方法,攻击TRACE,OPTIONS和Max-Forwards标头和TRACK方法。 我们已经删除了不必要的标头,例如服务器和X供电...以及响应中的 asp.net 版本标头,通过 Web 配置更改或代码更改,但我们仍然看到这一点。 此外,提到的 url 只允许 GET 或 POST,而不允许 TRACE、OPTIONS 或 TRACK 方法。 我们甚至在web.config中提供了以下内容来防止这些动词:
<system.webServer>
<security>
<requestFiltering removeServerHeader="true">
<verbs allowUnlisted="true">
<add verb="OPTIONS" allowed="false" />
<add verb="TRACK" allowed="false" />
<add verb="TRACE" allowed="false" />
</verbs>
</requestFiltering>
</security>
<httpErrors errorMode="Custom">
<remove statusCode="404" />
<error statusCode="404" path="NotFound.html" responseMode="File" />
<remove statusCode="500" />
<error statusCode="500" path="Error.html" responseMode="File" />
</httpErrors>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
那么我们如何才能解决这个问题,或者我们还能做些什么来防止这种情况呢? 谢谢
我认为你无法解决 peoblem。我学过这部分,我也在门户中提出票证。
此响应不是来自服务器,它由 azure 前端处理,无法删除特定标头。
无需花时间解决此问题,还可以通过 Azure 提出Microsoft支持问题。