Cabeçalho de resposta IIS7 expõe informações do servidor quando a solicitação de postagem está incompleta

2

O IIS revela "Servidor: Microsoft-HTTPAPI / 2.0" no cabeçalho de resposta quando uma solicitação Post inválida é feita. por exemplo. o comprimento do conteúdo não está incluído no cabeçalho. A resposta retornada também diz HTTP / 1.1 411 Length Required.

o caso mais próximo que eu encontrei foi este post no iis.net: link mas ainda não ter alguma sorte.

Eu também tentei implementar isso: link e ele não impede que o cabeçalho do servidor seja adicionado / renomeado

Meu cliente está pedindo que todos os cabeçalhos "Server" sejam removidos como parte de seus requisitos de segurança. (não me pergunte porque, eu sou apenas o idiota que só tem que fazer)

alguém encontra isso antes?

    
por munsense 19.02.2013 / 03:58

1 resposta

3

Deparei com o blog de Paul Bouwer.

Acontece que quando o cabeçalho do servidor "Microsoft-HTTPAPI / 2.0" aparece, isso significa que o driver HTTP.SYS manipulou a solicitação e nunca chega ao IIS para processamento. faz sentido, por que perder tempo enviando para o IIS quando você pode resolver uma solicitação inválida o mais cedo possível.

para impedir que o HTTP.SYS adicione o cabeçalho do servidor, um REG_DWORD precisa ser adicionado ao o registro: HKLM \ SYSTEM \ CurrentControlSet \ Services \ HTTP \ Parâmetros

adicione um REG_DWORD chamado "DisableServerHeader" com um valor de 1.

Eu não estava interessado em tentar encontrar uma maneira de reiniciar o driver e lidar com as dependências, então reiniciei a máquina.

após a reinicialização, testado com o Fiddler e tudo funcionou bem.

    
por 20.02.2013 / 02:38