タグ付けされた質問 「penetration-testing」

OWASP ZAPを使用してローカルホストで侵入テストを行っていますが、次のメッセージが報告され続けます。 Anti-MIME-SniffingヘッダーX-Content-Type-Optionsが「nosniff」に設定されていませんでした このチェックは、Internet Explorer 8とGoogle Chromeに固有です。Content-Typeヘッダーが不明な場合は、各ページにContent-TypeヘッダーとX-CONTENT-TYPE-OPTIONSが設定されていることを確認してください これが何を意味するのか私にはわかりませんし、オンラインでも何も見つかりませんでした。追加しようとしました： <meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" /> しかし、私はまだアラートを受け取ります。 パラメータを設定する正しい方法は何ですか？

291 html  http-headers  meta  owasp  penetration-testing 

余分なヘッダーを削除する必要があります（主に侵入テストに合格するため）。UrlScanの実行を伴うソリューションを検討することに時間を費やしましたが、Azureインスタンスを起動するたびにUrlScanをインストールする必要があるため、これらは面倒です。 startup.cmdからインストーラーをデプロイする必要のないAzure向けの優れたソリューションが必要です。 応答ヘッダーがさまざまな場所に追加されていることを理解しています。 サーバー：IISによって追加されました。 X-AspNet-バージョン：HttpResponseクラスのフラッシュ時にSystem.Web.dllによって追加されました X-AspNetMvc-バージョン：System.Web.dllのMvcHandlerによって追加されました。 X-Powered-By：IISによって追加されました IISモジュールを作成したりインストーラーをデプロイしたりせずに、（web.configなどを介して）IIS7を構成してHTTP応答ヘッダーを削除/非表示/無効にしてasafaweb.comでの「過剰なヘッダー」警告を回避する方法はありますか？Azureインスタンスが起動するたびに実行されますか？

86 asp.net  iis-7  azure  penetration-testing  response-headers