Usuń nagłówek odpowiedzi serwera IIS7

Czy istnieje sposób na usunięcie nagłówka odpowiedzi „Server” z usług IIS7? Jest kilka artykułów pokazujących, że używając HttpModules możemy osiągnąć to samo. Będzie to pomocne, jeśli nie mamy uprawnień administratora do serwera. Nie chcę też pisać filtru ISAPI.

Mam uprawnienia administratora do mojego serwera. Więc nie chcę robić powyższych rzeczy. Więc proszę, pomóż mi zrobić to samo.

Dodaj to do swojego global.asax.cs:

protected void Application_PreSendRequestHeaders()
{
    Response.Headers.Remove("Server");
    Response.Headers.Remove("X-AspNet-Version");
    Response.Headers.Remove("X-AspNetMvc-Version");
}

W IIS7 musisz użyć modułu HTTP. Zbuduj następujące elementy jako bibliotekę klas w VS:

namespace StrongNamespace.HttpModules
{
  public class CustomHeaderModule : IHttpModule
  { 
    public void Init(HttpApplication context)
    {
      context.PreSendRequestHeaders += OnPreSendRequestHeaders;
    } 

    public void Dispose() { } 

    void OnPreSendRequestHeaders(object sender, EventArgs e)
    {
      HttpContext.Current.Response.Headers.Set("Server", "Box of Bolts");
    }
  }
}

Następnie dodaj następujące elementy do pliku web.config lub skonfiguruj go w usługach IIS (jeśli konfigurujesz w usługach IIS, zestaw musi znajdować się w GAC).

<configuration>
  <system.webServer>
    <modules>
      <add name="CustomHeaderModule"
       type="StrongNamespace.HttpModules.CustomHeaderModule" />
    </modules>
  </system.webServer>
</configuration>

Po włączeniu modułu ponownego zapisywania adresów URL w wersji 2.0 dla usług IIS (UrlRewrite) w sekcji konfiguracji <configuration>➡ <system.webServer>➡ <rewrite>dodaj regułę ruchu wychodzącego:

<outboundRules>
  <rule name="Remove RESPONSE_Server" >
    <match serverVariable="RESPONSE_Server" pattern=".+" />
    <action type="Rewrite" value="" />
  </rule>
</outboundRules>

Scott Mitchell podaje w poście na blogu rozwiązania do usuwania niepotrzebnych nagłówków .

Jak już wspomniano w innych odpowiedziach, w przypadku Servernagłówka istnieje rozwiązanie modułu http lub rozwiązanie web.config dla usług IIS 10+ lub zamiast tego można użyć URLRewrite do jego wyczyszczenia .

Najbardziej praktycznym rozwiązaniem dla aktualnej konfiguracji (IIS 10 +) jest użycie removeServerHeaderw pliku web.config:

<system.webServer>
  ...
  <security>
    <requestFiltering removeServerHeader="true" />
  </security>
  ...
</system.webServer>

Ponieważ X-AspNet-Versioni X-AspNetMvc-Version, zapewnia lepszy sposób niż usuwanie ich z każdej odpowiedzi: po prostu nie generowanie ich wcale.

Służy enableVersionHeaderdo wyłączania X-AspNet-Versionw pliku web.config

<system.web>
  ...
  <httpRuntime enableVersionHeader="false" />
  ...
</system.web>

Użyj MvcHandler.DisableMvcResponseHeaderw zdarzeniu .Net Application_Start do wyłączeniaX-AspNetMvc-Version

MvcHandler.DisableMvcResponseHeader = true;

Na koniec usuń w konfiguracji usług IIS X-Powered-Byniestandardowy nagłówek w pliku web.config.

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <remove name="X-Powered-By" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

Uważaj, jeśli masz ARR (Routing żądań aplikacji), doda również swój własny X-Powered-By, który nie zostanie usunięty przez niestandardowe ustawienia nagłówków. Ten musi zostać usunięty przez Menedżera IIS, konfigurację Edytora w katalogu głównym IIS (nie w lokacji): przejdź do system.webServer/proxywęzła i ustaw arrResponseHeaderna false. Po an IISResetjest brany pod uwagę.
(Znalazłem ten tutaj , z wyjątkiem tego, że ten post dotyczy starego sposobu konfigurowania usług IIS 6.0).

Nie zapominaj, że rozwiązanie przez kod aplikacji nie dotyczy domyślnie nagłówka generowanego na statycznej zawartości (możesz aktywować, runAllManagedModulesForAllRequestsaby to zmienić, ale powoduje to, że wszystkie żądania uruchamiają potok .Net). Nie stanowi to problemu, X-AspNetMvc-Versionponieważ nie jest dodawane do zawartości statycznej (przynajmniej jeśli żądanie statyczne nie jest uruchamiane w potoku .Net).

Uwaga dodatkowa: jeśli celem jest zamaskowanie używanej technologii, należy również zmienić standardowe nazwy plików cookie .Net ( .ASPXAUTHjeśli aktywowano uwierzytelnianie formularzy (użyj nameatrybutu w formstagu w web.config), ASP.NET_SessionId(użyj <sessionState cookieName="yourName" />w web.config pod system.webtagiem), __RequestVerificationToken(zmień to kodem z AntiForgeryConfig.CookieName, ale niestety nie dotyczy to ukrytych danych wejściowych, które ten system generuje w html)).

W rzeczywistości zakodowane moduły i przykłady Global.asax pokazane powyżej działają tylko dla prawidłowych żądań.

Na przykład, dodaj <na końcu adresu URL, a otrzymasz stronę „Złe żądanie”, która nadal ujawnia nagłówek serwera. Wielu programistów to przeoczy.

Pokazane ustawienia rejestru również nie działają. URLScan to JEDYNY sposób usunięcia nagłówka „server” (przynajmniej w IIS 7.5).

Lub dodaj web.config:

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <remove name="X-AspNet-Version" />
            <remove name="X-AspNetMvc-Version" />
            <remove name="X-Powered-By" />
            <!-- <remove name="Server" />  this one doesn't work -->
        </customHeaders>
    </httpProtocol>
</system.webServer>

Ta web.configkonfiguracja działa w celu usunięcia wszystkich niepotrzebnych nagłówków z odpowiedzi ASP.NET (przynajmniej począwszy od IIS 10):

<!--Removes version headers from response -->
<httpRuntime enableVersionHeader="false" />

<httpProtocol>
  <customHeaders>
    <!--Removes X-Powered-By header from response -->
    <clear />
  </customHeaders>
</httpProtocol>

<security>
  <!--Removes Server header from response-->
  <requestFiltering removeServerHeader ="true" />
</security>

Należy pamiętać, że powoduje to ukrycie wszystkich nagłówków „aplikacji”, podobnie jak wszystkie inne podejścia. Jeśli np. Przejdziesz na jakąś domyślną stronę lub stronę błędu wygenerowaną przez same IIS lub ASP.NET poza twoją aplikacją, te reguły nie będą miały zastosowania. Idealnie więc powinny znajdować się na poziomie głównym w usługach IIS, a ten próg może pozostawić pewne odpowiedzi na błędy w samych usługach IIS.

PS W IIS 10 jest błąd, który powoduje, że czasami wyświetla nagłówek serwera, nawet przy poprawnej konfiguracji. Powinno to już zostać naprawione, ale IIS / Windows musi zostać zaktualizowany.

Oprócz odpowiedzi przepisywania adresu URL , oto pełny kod XML dlaweb.config

<system.webServer>
  <rewrite>
    <outboundRules>
      <rule name="Remove RESPONSE_Server" >
        <match serverVariable="RESPONSE_Server" pattern=".+" />
        <action type="Rewrite" value="Company name" />
      </rule>
    </outboundRules>
  </rewrite>
</system.webServer>

Przepisywanie adresu URL

Aby usunąć Server:nagłówek, przejdź do Global.asax, znajdź / utwórz Application_PreSendRequestHeaderswydarzenie i dodaj wiersz w następujący sposób (dzięki BK i temu blogowi to również nie zawiedzie na Cassini / lokalnym dev):

protected void Application_PreSendRequestHeaders(object sender, EventArgs e)
{
    // Remove the "Server" HTTP Header from response
    HttpApplication app = sender as HttpApplication;
    if (null != app && null != app.Request && !app.Request.IsLocal &&
        null != app.Context && null != app.Context.Response)
    {
        NameValueCollection headers = app.Context.Response.Headers;
        if (null != headers)
        {
            headers.Remove("Server");
        }
    }
}

Jeśli chcesz uzyskać kompletne rozwiązanie do usuwania wszystkich powiązanych nagłówków na platformie Azure / IIS7, a także współpracujące z Cassini, zobacz ten link , który pokazuje najlepszy sposób wyłączania tych nagłówków bez korzystania z HttpModules lub URLScan.

Jeśli chcesz tylko usunąć nagłówek, możesz użyć skróconej wersji odpowiedzi lukiffera:

using System.Web;

namespace Site
{
    public sealed class HideServerHeaderModule : IHttpModule
    {
        public void Dispose() { }

        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders +=
            (sender, e) => HttpContext.Current.Response.Headers.Remove("Server");
        }
    }
}

A potem w Web.config:

<system.webServer>
  <modules runAllManagedModulesForAllRequests="true">
    <add name="CustomHeaderModule" type="Site.HideServerHeaderModule" />
  </modules>
</system.webServer>

Spróbuj ustawić HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\DisableServerHeaderwpis rejestru na REG_DWORDz 1.

UrlScan może również usunąć nagłówek serwera, używając AlternateServerName=under [options].

Kontynuując odpowiedź eddiegrovesa , w zależności od wersji URLScan, możesz zamiast tego wybrać RemoveServerHeader=1poniżej [options].

Nie jestem pewien, w której wersji narzędzia URLScan ta opcja została dodana, ale była dostępna w wersji 2.5 i nowszych.

Znalazłem artykuł wyjaśniający, dlaczego musimy zarówno edytować rejestr, jak i używać narzędzia takiego jak UrlScan, aby poprawnie ustawić to w IIS. Śledziłem to na naszych serwerach i działa: http://blogs.msdn.com/b/varunm/archive/2013/04/23/remove-unwanted-http-response-headers.aspx . Jeśli używasz tylko UrlScan, ale nie zmieniasz rejestru, w czasie zatrzymywania usługi World Wide Publishing Service serwer zwróci odpowiedź http serwera z pliku HTTP.sys. Poniżej przedstawiono typowe pułapki korzystania z narzędzia UrlScan: http://msdn.microsoft.com/en-us/library/ff648552.aspx#ht_urlscan_008

W IIS 10 korzystamy z rozwiązania podobnego do podejścia Drew, tj .:

using System;
using System.Web;

namespace Common.Web.Modules.Http
{
    /// <summary>
    /// Sets custom headers in all requests (e.g. "Server" header) or simply remove some.
    /// </summary>
    public class CustomHeaderModule : IHttpModule
    {
        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders += OnPreSendRequestHeaders;
        }

        public void Dispose() { }

        /// <summary>
        /// Event handler that implements the desired behavior for the PreSendRequestHeaders event,
        /// that occurs just before ASP.NET sends HTTP headers to the client.
        /// 
        /// </summary>
        /// <param name="sender"></param>
        /// <param name="e"></param>
        void OnPreSendRequestHeaders(object sender, EventArgs e)
        {
            //HttpContext.Current.Response.Headers.Remove("Server");
            HttpContext.Current.Response.Headers.Set("Server", "MyServer");
        }
    }
}

I oczywiście dodaj odniesienie do tej biblioteki dll w swoim projekcie (ach), a także moduł w konfiguracjach, które chcesz:

<system.webServer>
    <modules>
      <!--Use http module to remove/customize IIS "Server" header-->
      <add name="CustomHeaderModule" type="Common.Web.Modules.Http.CustomHeaderModule" />
    </modules>
</system.webServer>

WAŻNA UWAGA 1: To rozwiązanie wymaga zestawu aplikacji jako zintegrowanego;

WAŻNA UWAGA 2: będzie to miało wpływ na wszystkie odpowiedzi w aplikacji internetowej (w tym css i js);

Zbadałem to i metoda URLRewrite działa dobrze. Nie wydaje się, aby nigdzie dobrze znaleźć skrypt zmiany. Napisałem ten zgodny z programem PowerShell v2 i nowszym i przetestowałem go w usługach IIS 7.5.

# Add Allowed Server Variable
    Add-WebConfiguration /system.webServer/rewrite/allowedServerVariables -atIndex 0 -value @{name="RESPONSE_SERVER"}
# Rule Name
    $ruleName = "Remove Server Response Header"
# Add outbound IIS Rewrite Rule
    Add-WebConfigurationProperty -pspath "iis:\" -filter "system.webServer/rewrite/outboundrules" -name "." -value @{name=$ruleName; stopProcessing='False'}
#Set Properties of newly created outbound rule 
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/match" -name "serverVariable" -value "RESPONSE_SERVER"
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/match" -name "pattern" -value ".*"
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/action" -name "type" -value "Rewrite"

Możesz dodać poniższy kod w pliku Global.asax.cs

    protected void Application_PreSendRequestHeaders()
    {
        Response.Headers.Remove("Server");
    }

Rozwiązanie zaproponowane powyżej w połączeniu działało u mnie z kolejnymi zmianami. Tutaj zamieszczam mój scenariusz i rozwiązanie.

U mnie chciałem usunąć następujące nagłówki:

• serwer
• X-Powered-By
• Wersja X-AspNet
• Wersja X-AspNetMvc

Dodałem je do mojego global.asax:

<%@ Application Language="C#" %>
<script runat="server">
    protected void Application_PreSendRequestHeaders()
    {
        Response.Headers.Remove("Server");
        Response.Headers.Remove("X-Powered-By");
        Response.Headers.Remove("X-AspNet-Version");
        Response.Headers.Remove("X-AspNetMvc-Version");
    }
</script>

Powyższe zdarzenie nie było uruchamiane, więc dodałem następujący do web.config i zadziałało.

<modules runAllManagedModulesForAllRequests="true" />

aw celu usunięcia nagłówka wersji dodałem również do web.config:

<httpRuntime enableVersionHeader="false" />

Zmiany w web.config:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <modules runAllManagedModulesForAllRequests="true" />
    </system.webServer>
    <system.web>
        <httpRuntime enableVersionHeader="false" />
    </system.web>
</configuration>

Mam nadzieję, że to pomoże!

Wypróbowałem wszystkie rzeczy tutaj i na kilku innych podobnych wątkach przepełnienia stosu.

Rozłączyłem się na chwilę, ponieważ zapomniałem wyczyścić pamięć podręczną przeglądarki po wprowadzeniu zmian w konfiguracji. Jeśli tego nie zrobisz, a plik znajduje się w lokalnej pamięci podręcznej, zwróci Ci go z oryginalnymi nagłówkami (duh).

Mam to głównie działające poprzez usunięcie runAllManagedModulesForAllRequests:

<modules runAllManagedModulesForAllRequests="true">

To usunęło zbędne nagłówki z większości plików statycznych, ale nadal otrzymywałem nagłówek „Server” w niektórych statycznych plikach w moim projekcie WebAPI w swagger.

W końcu znalazłem i zastosowałem to rozwiązanie, a teraz wszystkie niechciane nagłówki zniknęły:

https://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85

który omawia jego kod, który jest tutaj:

https://github.com/Dionach/StripHeaders/releases/tag/v1.0.5

To jest moduł kodu natywnego. Jest w stanie usunąć nagłówek serwera, a nie tylko wyczyścić wartość. Domyślnie usuwa:

• serwer
• X-Powered-By
• Wersja X-Aspnet
• Serwer: Microsoft-HTTPAPI / 2.0 - który zostanie zwrócony, jeśli „żądanie nie zostanie przekazane do IIS”

Usługi IIS 7.5 i prawdopodobnie nowsze wersje mają tekst nagłówka przechowywany w iiscore.dll

Używając edytora szesnastkowego, znajdź ciąg i słowo „Serwer” 53 65 72 76 65 72po nim i zastąp je bajtami zerowymi. W IIS 7.5 wygląda to tak:

4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 2F 37 2E 35 00 00 00 53 65 72 76 65 72 

W przeciwieństwie do innych metod nie powoduje to spadku wydajności. Nagłówek jest również usuwany ze wszystkich żądań, nawet błędów wewnętrznych.