Azure WAF添加不需要的服务器http头

Question

网站管家似乎会为每个请求添加一个http头，值如下：

server:Microsoft-IIS/10.0

这对我们来说是一个大问题，因为它导致我们无法通过第三方的渗透测试，这些第三方希望使用我们的服务。以前我们使用url重写模块来删除服务器头，但是通过使用网站管家，它已经把它添加回来了。

如果不深入讨论这是否是一个安全漏洞(我不认为是)，如果我们不能控制对客户端的响应，我们就无法通过这个渗透测试。有没有什么选择，或者我们必须放弃Azure WAF？

Answer 1

这是应用程序网关的一个已知问题，因此也是WAF的一个问题，我被告知将在即将发布的版本中解决这个问题。

https://feedback.azure.com/forums/217313-networking/suggestions/16487725-remove-server-framework-headers-from-application-g