Problem z web.configami, hosting na Azure

Dopiero zaczynam zabawę z web.configami, więc prośba o wyrozumiałość.
Mam apkę hostowaną na Azure. Jej custom headers w web.config na wwwroot wyglądają tak:

<customHeaders>
    <add name="Access-Control-Allow-Origin" value="*" />
    <add name="Referrer-Policy" value="same-origin"/>
    <remove name="X-Powered-By" />
    <add name="X-Content-Type-Options" value="nosniff" />
    <add name="X-XSS-Protection" value="0"></>
</customHeaders>

Lokalnie custom headers w Javie, w web.config wyglądają tak:

<customHeaders>
  <remove name="X-Powered-By" />
  <add name="X-Content-Type-Options" value="nosniff" />
  <add name="X-XSS-Protection" value="0"></>
</customHeaders>

I jak strzelam Postmanem na localhoście to dostaję: X-XSS-Protection: 1; mode=block
Skąd to się bierze? Dzięki!

FYI: Ponoć dlatego, że Postman web.config ignoruje.

Strzelam, że jedno z dwóch:

• albo plik jest źle zrobiony (trudno wnioskować bo nie wkleiłeś całego pliku)
• albo gdzieś pomiędzy twoim kontem, a apką jest jakieś proxy, reverse proxy czy bramka, która dokleja sobie headery