我的网站https和安全类型的 iis8.5 web.config功能

一直以来由于浏览器的版本陈旧，网站会员及程序本身不更新，以及技术发展较迅速的原因，网站安全相关已成为人们常说的话题。

经常在购物及银行类站点，都面临这类问题，现在这个问题正在被放大，小型及个人站点也将遇到这类，所以作为开发人员的我们，提前掌握方法及防止它们，才是网站安全的唯一途径。

从层面上讲，网站的安全涉及两个部分：

一、客户端的浏览器及软件载体本身的问题

二、网站自身程序及空间配置的原因

而要解决这些问题，至少要有一个出发点，大部分人是不具备专业网站开发技能及使用知识的，他们只知道打开电脑要干点什么，或访问某些站点要得到或知道些什么，而不管你电脑是否中毒或有漏洞，也不管浏览器是 360或 ie678还是chrome safari或是不知道名称的那种皮肤浏览器。

所以抛开客户端软件载体的原因，从根本上解决网站安全问题，才是重中之重。这也是技术人员应该去做的，不要因为你技术不深入或是一个程序版本太旧为借口不去做（not to do）。面临这些问题时首先从软件发展的角度考虑，当前陈旧配置及最新出现的方法，用心去思考和善用搜索引擎并最终解决这类问题。

下面列出 windows iis8.5的一些网站防御规则

// 跨域规则

// ssl(https)跳转规则

// 反向代理镜像规则

// 删除网站服务器操作系统版本及hsts(要配合https)规则

// 404页面配置

// 站点压缩及头部 head的去除和防镜像或跨域攻击注入过滤

// 一些文件头 head压缩，缓存，静态类型的处理及时间配置

// 编码及一些连接数报错和域的配置

也许这个系列快到了结束的时候，本来是想写全面些并配图和制作视频教程的，但那样太要时间和配置及操作，但这不是最后一篇教程，还会有的，实际上这几年偶都在环境配置及网站安全方面做了一些教程和配置及实践，偶从来都不是讲话不去操作的那种人，相信实际掌握才是值得学习和研究的，你们也应该像偶一样去理解这块的知识点，比方去装 1000次 2003系统，或装 100次 2012r2，哈哈，当然这只是偶自己去做过，但别人会当成笑话的那种事情。