修复内部IP地址信息泄漏

修复内部IP地址信息泄漏

    当访问IIS网站上的静态HTML文件时，比如index.htm，IIS响应中会包含一个Content-Location文件头。如果IIS配置不当，Content-Location文件头中将包含服务器的IP地址内容，这样就导致了隐藏在NAT防火墙或者代理服务器后面的内部网IP地址信息的泄漏，给攻击者有漏可乘。我们可以通过将.htm文件改名为.ASP文件，并定制文件头信息来消除该安全隐患。首先将静态页面文件（比如 .htm，.html）改名为.asp文件。注意，经过这样的文件改名后，当访问原来的.htm文件时，将启动ASP引擎，从性能上来看，是稍稍有些降低的。接下来启动Internet信息服务（IIS）管理器，依次展开其左侧窗口子项，直到看到“默认Web站点”，用鼠标右击，选择“属性”，点击切换到“HTTP头”选项页，点击“添加”，打开“添加/编辑自定义HTTP头”对话框，在“自定义头名称”处输入“Content-Location”，在“自定义头值”处输入你期望的域名信息，确定返回即可