无法在 HTTP-Azure 应用服务的请求标头中删除服务器名称

Question

我已经做了必要的 web.config（在 D:\home\site\wwwroot 中找到），这也有一个重写规则将所有重定向到 https

        <configuration>
        <system.web>
           <!-- <compilation debug="true" targetFramework="4.5.1" />
            <httpRuntime targetFramework="4.5.1" enableVersionHeader="false" />-->
            <httpRuntime enableVersionHeader="false" />
            <!--<customErrors mode="RemoteOnly" defaultRedirect="https://concierge.digitaldesk.accenture.com"/>-->
        </system.web>
        <system.webServer>
            <security>
<requestFiltering removeServerHeader="true"/>
</security>
                       
        

基于https://securityheaders.com/

带有重定向的原始标头

没有重定向的原始标题

它突然显示服务器名称，我也需要删除它。

请帮忙！！

Answer 1

我无法重现此问题。在我这边，重定向和非重定向请求都将被删除。您是否错过了为原始 URL 设置 disableServerHeader ？并且您是否尝试过清理浏览器缓存，因为可以缓存 301 重定向。

我认为您可以改用出站规则，因为 IIS 出站规则会一直删除 response_server 标头的值。

<outboundRules>
    <rule name="Remove response">
        <match serverVariable="RESPONSE_SERVER" pattern="(.*)" />
        <action type="Rewrite" />
    </rule>
</outboundRules>

Answer 2

我认为您的问题与 Azure 门户中 Web 应用 TLS/SSL 设置部分中的“仅 HTTPS”设置有关。如果您将“HTTPS only”设置为 ON，则对 HTTP（不是 HTTPS）的第一个请求不会命中您的应用程序代码，并且您的 web.config 不适用。 Microsoft 直接使用 301 ( + Server Header ) 响应。下一个请求没有服务器名称，因为正在应用 web.config 规则。

尝试禁用“仅 HTTPS”并使用 web.config 或应用程序代码中的规则进行重定向。这应该可以解决问题。

为了证明我的分析，将“仅 HTTPS”设置为 ON，在日志中搜索对 http 的请求：如果您设置了应用程序洞察力，则可以像这样查询日志

requests 
| where url startswith "http:" 
| order by timestamp desc

如果我的分析是正确的，您将不会在那里找到任何请求。但是，如果您禁用“仅 HTTPS”，那么您还会看到对 http 的请求