Удалить заголовок ответа сервера IIS7

Есть ли способ удалить заголовок ответа «Сервер» из IIS7? В некоторых статьях показано, что с помощью HttpModules можно добиться того же. Это будет полезно, если у нас нет прав администратора на сервере. Также я не хочу писать фильтр ISAPI.

У меня есть права администратора на моем сервере. Так что я не хочу делать вышеупомянутые вещи. Итак, пожалуйста, помогите мне сделать то же самое.

Добавьте это в свой global.asax.cs:

protected void Application_PreSendRequestHeaders()
{
    Response.Headers.Remove("Server");
    Response.Headers.Remove("X-AspNet-Version");
    Response.Headers.Remove("X-AspNetMvc-Version");
}

В IIS7 вы должны использовать модуль HTTP. Создайте следующее как библиотеку классов в VS:

namespace StrongNamespace.HttpModules
{
  public class CustomHeaderModule : IHttpModule
  { 
    public void Init(HttpApplication context)
    {
      context.PreSendRequestHeaders += OnPreSendRequestHeaders;
    } 

    public void Dispose() { } 

    void OnPreSendRequestHeaders(object sender, EventArgs e)
    {
      HttpContext.Current.Response.Headers.Set("Server", "Box of Bolts");
    }
  }
}

Затем добавьте следующее в свой web.config или настройте его в IIS (если вы настраиваете в IIS, сборка должна находиться в GAC).

<configuration>
  <system.webServer>
    <modules>
      <add name="CustomHeaderModule"
       type="StrongNamespace.HttpModules.CustomHeaderModule" />
    </modules>
  </system.webServer>
</configuration>

При включенном модуле перезаписи URL версии 2.0 для IIS (UrlRewrite) в разделе конфигурации <configuration>➡ <system.webServer>➡ <rewrite>добавьте правило для исходящего трафика :

<outboundRules>
  <rule name="Remove RESPONSE_Server" >
    <match serverVariable="RESPONSE_Server" pattern=".+" />
    <action type="Rewrite" value="" />
  </rule>
</outboundRules>

Скотт Митчелл в своем блоге предлагает решения для удаления ненужных заголовков .

Как уже было сказано здесь, в других ответах, для Serverзаголовка существует решение модуля http или решение web.config для IIS 10+ , или вы можете использовать URLRewrite вместо его гашения .

Наиболее практичным решением для установки обновленной версии (IIS 10+) является использование removeServerHeaderфайла web.config:

<system.webServer>
  ...
  <security>
    <requestFiltering removeServerHeader="true" />
  </security>
  ...
</system.webServer>

Для X-AspNet-Versionи X-AspNetMvc-Versionон предлагает лучший способ, чем удаление их при каждом ответе: просто не генерировать их вообще.

Используйте enableVersionHeaderдля отключения X-AspNet-Versionв web.config

<system.web>
  ...
  <httpRuntime enableVersionHeader="false" />
  ...
</system.web>

Используйте MvcHandler.DisableMvcResponseHeaderв событии .Net Application_Start для отключенияX-AspNetMvc-Version

MvcHandler.DisableMvcResponseHeader = true;

И, наконец, удалите в конфигурации IIS X-Powered-Byнастраиваемый заголовок в web.config.

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <remove name="X-Powered-By" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

Остерегайтесь, если у вас есть ARR (маршрутизация запросов приложений), он также добавит свой собственный X-Powered-By, который не будет удален настройками пользовательских заголовков. Его нужно удалить через диспетчер IIS, конфигурацию редактора в корне IIS (не на сайте): перейдите к system.webServer/proxyузлу и установите arrResponseHeaderзначение false. После IISReset, это учитывается.
(Я нашел это здесь , за исключением того, что этот пост посвящен старому способу настройки IIS 6.0.)

Не забывайте, что решение по коду приложения не применяется по умолчанию к заголовку, сгенерированному для статического содержимого (вы можете активировать его runAllManagedModulesForAllRequestsдля его изменения, но при этом все запросы будут запускаться .Net pipeline). Это не проблема, X-AspNetMvc-Versionпоскольку он не добавляется к статическому контенту (по крайней мере, если статический запрос не выполняется в конвейере .Net).

Боковое примечание: когда цель состоит в том, чтобы скрыть используемую технологию, вы также должны изменить стандартные имена файлов cookie .Net ( .ASPXAUTHесли формы активированы (использовать nameатрибут в formsтеге в web.config), ASP.NET_SessionId(использовать <sessionState cookieName="yourName" />в web.config в system.webтеге), __RequestVerificationToken(изменить его по коду с AntiForgeryConfig.CookieName, но, к сожалению, не относится к скрытому вводу, который эта система генерирует в html)).

На самом деле закодированные модули и примеры Global.asax, показанные выше, работают только для действительных запросов.

Например, добавьте <в конце вашего URL-адреса, и вы получите страницу «Плохой запрос», на которой по-прежнему отображается заголовок сервера. Многие разработчики не обращают на это внимания.

Показанные параметры реестра также не работают. URLScan - ЕДИНСТВЕННЫЙ способ удалить заголовок «сервер» (по крайней мере, в IIS 7.5).

Или добавьте в web.config:

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <remove name="X-AspNet-Version" />
            <remove name="X-AspNetMvc-Version" />
            <remove name="X-Powered-By" />
            <!-- <remove name="Server" />  this one doesn't work -->
        </customHeaders>
    </httpProtocol>
</system.webServer>

Эта web.configнастройка позволяет удалить все ненужные заголовки из ответа ASP.NET (по крайней мере, начиная с IIS 10):

<!--Removes version headers from response -->
<httpRuntime enableVersionHeader="false" />

<httpProtocol>
  <customHeaders>
    <!--Removes X-Powered-By header from response -->
    <clear />
  </customHeaders>
</httpProtocol>

<security>
  <!--Removes Server header from response-->
  <requestFiltering removeServerHeader ="true" />
</security>

Обратите внимание, что это скрывает все заголовки для «приложения», как и все другие подходы. Если вы, например, перейдете на страницу по умолчанию или страницу ошибки, созданную самим IIS или ASP.NET вне вашего приложения, эти правила не будут применяться. Поэтому в идеале они должны быть на корневом уровне в IIS, и этот порог может оставлять некоторые ответы об ошибках самому IIS.

PS В IIS 10 есть ошибка, из- за которой иногда отображается заголовок сервера даже при правильной конфигурации. К настоящему времени это должно быть исправлено, но IIS / Windows необходимо обновить.

В дополнение к ответу на переопределение URL-адреса , вот полный XML дляweb.config

<system.webServer>
  <rewrite>
    <outboundRules>
      <rule name="Remove RESPONSE_Server" >
        <match serverVariable="RESPONSE_Server" pattern=".+" />
        <action type="Rewrite" value="Company name" />
      </rule>
    </outboundRules>
  </rewrite>
</system.webServer>

Перезапись URL

Чтобы удалить Server:заголовок, перейдите к Global.asax, найдите / создайте Application_PreSendRequestHeadersсобытие и добавьте следующую строку (спасибо BK и этому блогу, это также не приведет к сбою в Cassini / local dev):

protected void Application_PreSendRequestHeaders(object sender, EventArgs e)
{
    // Remove the "Server" HTTP Header from response
    HttpApplication app = sender as HttpApplication;
    if (null != app && null != app.Request && !app.Request.IsLocal &&
        null != app.Context && null != app.Context.Response)
    {
        NameValueCollection headers = app.Context.Response.Headers;
        if (null != headers)
        {
            headers.Remove("Server");
        }
    }
}

Если вам нужно полное решение для удаления всех связанных заголовков в Azure / IIS7, которое также работает с Cassini, перейдите по этой ссылке , где показан лучший способ отключить эти заголовки без использования HttpModules или URLScan.

Если вы просто хотите удалить заголовок, вы можете использовать сокращенную версию ответа Люкиффера:

using System.Web;

namespace Site
{
    public sealed class HideServerHeaderModule : IHttpModule
    {
        public void Dispose() { }

        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders +=
            (sender, e) => HttpContext.Current.Response.Headers.Remove("Server");
        }
    }
}

А потом в Web.config:

<system.webServer>
  <modules runAllManagedModulesForAllRequests="true">
    <add name="CustomHeaderModule" type="Site.HideServerHeaderModule" />
  </modules>
</system.webServer>

Попробуйте установить для HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\DisableServerHeaderзаписи реестра значение REG_DWORDиз 1.

UrlScan также может удалить заголовок сервера, используя AlternateServerName=под [options].

Следуя ответу eddiegroves , в зависимости от версии URLScan, вы можете предпочесть RemoveServerHeader=1под [options].

Я не уверен, в какой версии URLScan был добавлен этот параметр, но он был доступен в версии 2.5 и новее.

Я нашел статью, в которой объясняется, почему нам нужно как редактировать реестр, так и использовать такой инструмент, как UrlScan, чтобы правильно настроить это в IIS. Я следил за ним на наших серверах, и он работает: http://blogs.msdn.com/b/varunm/archive/2013/04/23/remove-unwanted-http-response-headers.aspx . Если вы используете только UrlScan, но не вносите изменения в реестр, в то время, когда вы останавливаете службу World Wide Publishing Service, ваш сервер будет возвращать HTTP-ответ сервера из файла HTTP.sys. Кроме того, вот распространенные ошибки использования инструмента UrlScan: http://msdn.microsoft.com/en-us/library/ff648552.aspx#ht_urlscan_008

В IIS 10 мы используем решение, аналогичное подходу Дрю, то есть:

using System;
using System.Web;

namespace Common.Web.Modules.Http
{
    /// <summary>
    /// Sets custom headers in all requests (e.g. "Server" header) or simply remove some.
    /// </summary>
    public class CustomHeaderModule : IHttpModule
    {
        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders += OnPreSendRequestHeaders;
        }

        public void Dispose() { }

        /// <summary>
        /// Event handler that implements the desired behavior for the PreSendRequestHeaders event,
        /// that occurs just before ASP.NET sends HTTP headers to the client.
        /// 
        /// </summary>
        /// <param name="sender"></param>
        /// <param name="e"></param>
        void OnPreSendRequestHeaders(object sender, EventArgs e)
        {
            //HttpContext.Current.Response.Headers.Remove("Server");
            HttpContext.Current.Response.Headers.Set("Server", "MyServer");
        }
    }
}

И, очевидно, добавьте ссылку на эту dll в свой проект (ы), а также на модуль в конфигурации, которую вы хотите:

<system.webServer>
    <modules>
      <!--Use http module to remove/customize IIS "Server" header-->
      <add name="CustomHeaderModule" type="Common.Web.Modules.Http.CustomHeaderModule" />
    </modules>
</system.webServer>

ВАЖНОЕ ПРИМЕЧАНИЕ 1. Для этого решения требуется, чтобы пул приложений был настроен как интегрированный;

ВАЖНОЕ ПРИМЕЧАНИЕ 2: это повлияет на все ответы в веб-приложении (включая css и js);

Я исследовал это, и метод URLRewrite работает хорошо. Кажется, не могу найти хорошо написанное изменение. Я написал это совместимо с PowerShell v2 и выше и протестировал его на IIS 7.5.

# Add Allowed Server Variable
    Add-WebConfiguration /system.webServer/rewrite/allowedServerVariables -atIndex 0 -value @{name="RESPONSE_SERVER"}
# Rule Name
    $ruleName = "Remove Server Response Header"
# Add outbound IIS Rewrite Rule
    Add-WebConfigurationProperty -pspath "iis:\" -filter "system.webServer/rewrite/outboundrules" -name "." -value @{name=$ruleName; stopProcessing='False'}
#Set Properties of newly created outbound rule 
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/match" -name "serverVariable" -value "RESPONSE_SERVER"
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/match" -name "pattern" -value ".*"
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/action" -name "type" -value "Rewrite"

Вы можете добавить код ниже в файл Global.asax.cs

    protected void Application_PreSendRequestHeaders()
    {
        Response.Headers.Remove("Server");
    }

Предложенное выше решение в сочетании сработало для меня со следующими изменениями. Здесь я публикую свой сценарий и решение.

Для меня я хотел удалить следующие заголовки:

• Сервер
• X-Powered-By
• X-AspNet-Версия
• X-AspNetMvc-Версия

Я добавил их в свой global.asax:

<%@ Application Language="C#" %>
<script runat="server">
    protected void Application_PreSendRequestHeaders()
    {
        Response.Headers.Remove("Server");
        Response.Headers.Remove("X-Powered-By");
        Response.Headers.Remove("X-AspNet-Version");
        Response.Headers.Remove("X-AspNetMvc-Version");
    }
</script>

Вышеупомянутое событие не запускалось, поэтому я добавил следующее в web.config, и оно сработало.

<modules runAllManagedModulesForAllRequests="true" />

а для удаления заголовка версии я также добавил в web.config следующее:

<httpRuntime enableVersionHeader="false" />

Изменения в web.config:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <modules runAllManagedModulesForAllRequests="true" />
    </system.webServer>
    <system.web>
        <httpRuntime enableVersionHeader="false" />
    </system.web>
</configuration>

Надеюсь, поможет!

Я пробовал все это здесь и на нескольких других похожих потоках переполнения стека.

Я немного повесил трубку, потому что забыл очистить кеш браузера после внесения изменений в конфигурацию. Если вы этого не сделаете и файл находится в вашем локальном кеше, он вернет его вам с исходными заголовками (да).

Я получил это в основном, удалив runAllManagedModulesForAllRequests:

<modules runAllManagedModulesForAllRequests="true">

Это удалило посторонние заголовки из большинства статических файлов, но я все еще получал заголовок «Сервер» в некоторых статических файлах в моем проекте WebAPI в чванстве.

Я наконец нашел и применил это решение, и теперь все ненужные заголовки исчезли:

https://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85

в котором обсуждается его код, который находится здесь:

https://github.com/Dionach/StripHeaders/releases/tag/v1.0.5

Это модуль Native-Code. Он может удалить заголовок сервера, а не просто удалить значение. По умолчанию удаляет:

• Сервер
• X-Powered-By
• X-Aspnet-Версия
• Сервер: Microsoft-HTTPAPI / 2.0 - который будет возвращен, если «запрос не может быть передан в IIS»

В IIS 7.5 и, возможно, в более новых версиях текст заголовка хранится в iiscore.dll

Используя шестнадцатеричный редактор, найдите строку и слово «Сервер» 53 65 72 76 65 72после нее и замените их нулевыми байтами. В IIS 7.5 это выглядит так:

4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 2F 37 2E 35 00 00 00 53 65 72 76 65 72 

В отличие от некоторых других методов, это не приводит к снижению производительности. Заголовок также удаляется из всех запросов, даже при внутренних ошибках.