Angreifer können viele Informationen über Ihren Server und Ihr Netzwerk erhalten, indem sie sich die Response-Header ansehen, die Ihr Webserver zurückgibt.
Um Angreifern so wenig Informationen wie möglich zu geben, können Sie die HTTP-Response-Header in Windows IIS entfernen.
Um die HTTP-Response-Header in WindowsIIS zu entfernen
Angreifer können eine eigene Webseite erstellen, um den Inhalt Ihrer Website innerhalb eines Iframes zu laden. Dies kann einen Clickjacking-Angriff ermöglichen, bei dem der Angreifer auf Benutzereingaben abzielt, oder Benutzer dazu veranlassen, unbeabsichtigt Aktionen innerhalb der gefälschten Anwendung durchzuführen.
Um dies zu verhindern, können Sie einen X-Frame-Options-HTTP-Response-Header erstellen. Damit können Inhalte der Seite nicht mehr auf anderen Websites eingebunden werden.
Um einen X-Frame-Options-HTTP-Response-Header zu erstellen
-
Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.
-
Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
-
Speichern Sie die Datei.
Um zu verhindern, dass Sitzungen von Benutzern gestohlen werden können, lassen Sie Ihre Webanwendungen im Release-Modus laufen. Dadurch wird die Session ID im HTML-Code nicht mehr ausgegeben.
Um die Web-Anwendung im Release-Modus laufen zu lassen
-
Starten Sie das Programm Web Designer.
-
In der Menüleiste klicken Sie Ansicht > Startseite.
-
Auf der Startseite klicken Sie Webanwendung auswählen und wählen Sie die gewünschte Webanwendung aus.
-
Klicken Sie Einstellungen der Webanwendung bearbeiten.
-
Deaktivieren Sie das Kontrollkästchen Debugging.
TIPP: Wenn das Kontrollkästchen bereits deaktiviert ist, müssen Sie nichts weiter tun. Ihre Webanwendung läuft bereits im Release-Modus.
-
Klicken Sie OK.
-
Starten Sie den Web Designer neu.
-
Auf der Startseite wählen Sie wieder die gewünschte Webanwendung aus und klicken Release (Kompilieren zur Freigabe).