当前位置：首页 > wzjs >正文

知名的教育行业网站开发防疫优化措施

wzjs 2025/8/28 17:15:14

知名的教育行业网站开发,防疫优化措施,网站空间费价格,个人网站模板吧Microsoft IIS 版本信息泄露查看网页返回的 Header 信息，默认会包含 IIS，ASP.NET 版本信息： 隐藏 Server 标头编辑 web.config 文件，在 system.webServer 节点中配置 requestFiltering 来移除Server标头： <sec…

Microsoft IIS 版本信息泄露

查看网页返回的 Header 信息，默认会包含 IIS，ASP.NET 版本信息：

隐藏 Server 标头

编辑 web.config 文件，在 system.webServer 节点中配置 requestFiltering 来移除Server标头：

<security>
+  <requestFiltering removeServerHeader ="true" />
</security>

隐藏 X-ASPNET-Version 标头

编辑 web.config 文件，在 system.web 节点，添加以下配置代码：

<system.web>
+  <httpRuntime enableVersionHeader="false" />
</system.web>

隐藏 X-Powered-By 标头

编辑 web.config 文件，在 system.webServer.customeHeaders 节点，添加以下代码：

<system.webServer><httpProtocol><customHeaders>
+	    <remove name="X-Powered-By" /></customHeaders></httpProtocol></system.webServer>

修改完响应 Header 如下所示：

未加密的__VIEWSTATE参数

编辑 web.config 文件，在 system.web 节点，添加以下配置代码：

	<system.web>
+		<pages enableEventValidation="true" validateRequest="false" viewStateEncryptionMode="Always" enableViewStateMac="true"></system.web>

以上配置加密__VIEWSTATE 参数，并启用__EVENTVALIDATION；

HTML FORM 表单没有CSRF防护

通过全局向注入隐藏域 CSRF 标签，即 , 服务端收到请求时，会验证 CSRFToken 是否正确，不正确则拒绝请求。

添加 App_code/CSRFInjectingFilter.cs

using System;
using System.IO;
using System.Text;
using System.Text.RegularExpressions;
using System.Web;public class CSRFInjectingFilter : Stream
{private Stream _responseStream;private StringBuilder _buffer = new StringBuilder();private string _csrfToken;public CSRFInjectingFilter(Stream responseStream, string csrfToken) {_responseStream = responseStream;_csrfToken = csrfToken;}public override void Write(byte[] buffer, int offset, int count) {string content = Encoding.UTF8.GetString(buffer, offset, count);content = InjectToken(content);byte[] outData = Encoding.UTF8.GetBytes(content);_responseStream.Write(outData, 0, outData.Length);}private string InjectToken(string html) {string hiddenInput = string.Format("<input type='hidden' name='CSRFToken' value='{0}' />", _csrfToken);return Regex.Replace(html, @"<form[^>]*>", match => match.Value + hiddenInput, RegexOptions.IgnoreCase);}// 其他 Stream 抽象成员实现public override bool CanRead { get { return false; } }public override bool CanSeek { get { return false; } }public override bool CanWrite { get { return true; } }public override void Flush() { _responseStream.Flush(); }public override long Length {get { throw new NotSupportedException(); }}public override long Position {get { throw new NotSupportedException(); }set { throw new NotSupportedException(); }}public override int Read(byte[] buffer, int offset, int count) { throw new NotSupportedException();}public override long Seek(long offset, SeekOrigin origin) { throw new NotSupportedException(); }public override void SetLength(long value) { throw new NotSupportedException();}}

添加 App_code/CSRFModule.cs

using System;
using System.IO;
using System.Text;
using System.Text.RegularExpressions;
using System.Web;public class CSRFModule : IHttpModule
{public void Init(HttpApplication context) {context.AcquireRequestState += OnAcquireRequestState;context.PreRequestHandlerExecute += OnPreRequestHandlerExecute;}private void OnAcquireRequestState(object sender, EventArgs e) {var app = (HttpApplication)sender;var context = app.Context;// 对 POST 请求做校验if (context.Request.HttpMethod == "POST" && context.CurrentHandler is System.Web.UI.Page) {string tokenFromForm = context.Request.Form["CSRFToken"];string tokenFromSession = null;if (context.Session != null) {tokenFromSession = context.Session["CSRFToken"] as string;}if (string.IsNullOrEmpty(tokenFromForm) || tokenFromForm != tokenFromSession) {context.Response.StatusCode = 403;context.Response.Write("CSRF 验证失败");context.Response.End();}}}private void OnPreRequestHandlerExecute(object sender, EventArgs e){var app = (HttpApplication)sender;var context = app.Context;// 只处理 text/html 类型响应if (context.CurrentHandler is System.Web.UI.Page && context.Response.ContentType == "text/html") {if (context.Session["CSRFToken"] == null) {context.Session["CSRFToken"] = Guid.NewGuid().ToString();}context.Response.Filter = new CSRFInjectingFilter(context.Response.Filter, context.Session["CSRFToken"].ToString());}}public void Dispose() { }
}

配置 web.config , 添加以下配置

在 system.web/httpModules 节点中添加 CSRFModule

<system.web><httpModules>
+			<add name="CSRFModule" type="CSRFModule" />

在 system.webServer/modules 节点中添加 CSRFModule

<system.webServer><modules>
+			<add name="CSRFModule" type="CSRFModule" />

其他

增加 IP 地址黑名单

首先打开“服务器管理器”中，进入“管理”，点击“添加角色和功能”，在“服务器角色”的 Web服务器/Web服务器/安全性中找到 “IP和域限制”，勾选并安装。

安装成功后，在 IIS 中点击对应的网站，右侧面板中找到 “IP和域限制”，

双击进入，右键添加拒绝条目即可。

查看全文

http://www.dtcms.com/wzjs/521803.html

网站建设的功能和目标如何提升关键词的自然排名

成都网站建设有名的百度排名点击器

网站site的收录数量要多远索引量电商详情页模板免费下载

哈尔滨的网络科技开发公司seo技巧是什么

网站运营方案怎么写?企业网站怎么注册官网

旅游网站功能找网站设计公司

网站资质优化1688如何搜索关键词排名

大美工网站西藏自治区seo 标题关键词优化

自助建网站系统营销渠道管理

网站开发建设赚钱吗线上推广怎么做

建设三库一平台深圳seo优化培训

学网站开发要什么基础搜索推广渠道

做问卷调查的是哪个网站好爱站小工具

网站建设学校网站百度网盘app下载

智慧企业解决方案网络优化工程师前景如何

做php网站用什么软件开发百度宣传广告要多少钱

上海网站建设联系电话北京seo网站开发

懒人模板网站安卓优化大师老版本下载

杭州软件开发公司网站seo免费

网站建设合同seo赚钱培训

变装小说第三性wordpress泉州百度关键词优化

山东手机网站建设seo都用在哪些网站

网站服务建设公司深圳网站设计十年乐云seo

企业网站建站哪家好怎样推广app

html5 网站开发实战百度识图网页版入口

蛋糕网站内容规划河北百度推广seo

深圳婚庆网站建设免费写文章的软件

学做网站论坛vip码软文300字案例

威县做网站哪里便宜html网页制作app

wordpress分权限浏览器搜索引擎优化员简历