demoshop

一直以來都沒有在乎過這玩意，直到上次的專案客戶要求我們隱藏版本資訊才去找了一下資料其實隱藏版本資訊的好處是有的至少一些因為版本而產生的洞不會讓有心人士看版本就知道要往哪裡打。

首先先來看看當什麼都沒有設定的時候 HTTP Header 會顯示完整的版本編號

要如何設定呢？很簡單開啟 Web.config 找到 <pages> 在上面加上
<httpRuntime enableVersionHeader="false"/>

再來看看 HTTP Header 可以看到版本資訊被隱藏了

基於MSDN的說明其實版本資訊使用者根本不需要看到因此可以隱藏他而且可能也可以避免很多不必要的嘗試。

• HttpRuntimeSection.EnableVersionHeader 屬性
• 機會教育：從中華民國總統府網站被發現 XSS 漏洞講起