我的客户正在验证他们的网站以便在网站上接受卡付款,其中一个失败是我们泄露了内部 IP 地址,但我们使用的是 IIS 7.0,我认为它没有这样做。
我自己检查了标题但找不到问题所在:
HTTP/1.1 302 Found
Content-Type: text/html
Location: https://www.pirform.co.uk/Purchase.aspx
Server: Microsoft-IIS/7.0
X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT
Content-Length: 156
HTTP/1.1 200 OK
Cache-Control: private
Content-Type: text/html
Server: Microsoft-IIS/7.0
Set-Cookie: ASP.NET_SessionId=n4cf1m3qmmocof45bxwpwe55
X-AspNet-Version: 2.0.50727
X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT
Content-Length: 12015
知道他们在谈论什么吗?
答案1
好的,问题在于 IIS 中没有为 HTTPS(443)协议指定主机头,因此一旦我添加了它就没问题了。
但是更改设置有点棘手,因为对于单域证书,IIS 不允许您指定主机头,因此您必须进入服务器上的 CA,为证书提供一个以星号开头的友好名称,然后 IIS 将允许您指定主机头。
答案2
有很多地方都可能泄露数据,甚至可能在应用程序中。检查结果是什么?如果没有更多关于您的基础设施的了解,或者没有更多关于他们如何证明它失败的详细信息,就很难回答您的问题。