如何删除显示在远程地址中的我的服务器 IP？

Question

我已经提到了 post。但是我的查询有点不同，因为我想知道我是否可以通过 IIS?

实现这个

这是我检查元素时 远程地址 的样子。

现在，问题是看到的 IP 是部署了我所有网站文件的服务器 并且那里安全团队的担忧如下

The application discloses internal IP addresses which can aid attackers in mapping out the internal infrastructure of the network. This information can be used to craft other types of attacks.

这是我到目前为止尝试过的..

所以在 web.config 中，我能够删除显示在 响应 Headers 中的一些其他细节，例如 asp.net 版本等等

<httpProtocol>
  <customHeaders>
    <add name="X-UA-Compatible" value="IE=edge" />
    <add name="X-Frame-Options" value="ALLOW-FROM https://dev.org.com"/>
    <add name="Content-Security-Policy" value="frame-ancestors 'self' https://dev.org.com"/>
    <add name="Strict-Transport-Security" value="max-age=31536000"/>
    <remove name="ETag"/>
    <remove name="X-AspNet-Version" />
    <remove name="X-Powered-By" />
  </customHeaders>
</httpProtocol>

我的问题..

我知道这里的一个解决方案是屏蔽代理 IP，但如果我可以从 IIS 或 web.config 应用某种设置来实现这一点，那么我更愿意那。

Answer 1

恐怕 IIS 对此无能为力。

因为没有服务器变量表示远程服务器的IP地址。 IIS只能帮你改写服务器变量，很明显，服务器的IP既不包含在请求上下文中，也不包含在响应上下文中。

我认为 chrome 可能从 TCP 连接或 DNS 响应中获取值。

如果你想隐藏它，你可能需要创建一个反向代理。

https://docs.microsoft.com/en-us/iis/extensions/url-rewrite-module/reverse-proxy-with-url-rewrite-v2-and-application-request-routing