如何在 IIS 8.0/8.5 中删除服务器头响应?
我当前的服务器报告:
Microsoft-IIS/8.0
Microsoft-IIS/8.5
对于 IIS 7.0,我使用了 URLScan 3.1,但是这仅支持 IIS 7.0 而不是 8.x
【问题讨论】:
标签: iis http-headers httpresponse
还有另一种解决方案,我认为这个解决方案是最好和安全的。
您可以使用微软创建的UrlRewrite 模块。 Url Rewrite 模块重定向您的 url,还可以在响应标头中更改您的 IIS 服务器名称。
您不必使用重定向属性。您可以使用仅更改服务器标头值。
步骤如下:
首先,从这个链接下载 UrlRewrite 模块: http://www.iis.net/downloads/microsoft/url-rewrite 并安装 它在您的 IIS 服务器上。之后,在cmd上通过这个命令重启IIS 控制台
iisreset /restart
将以下项目添加到您的 Web 配置文件中的 <system.WebServer> 标记下。您可以将任何内容作为服务器名称写入 Value 项。
最后,我们更改了数据标题上的 IIS 版本名称。再次重新启动 IIS。通过 cmd 控制台。
奖励:如果您想测试您的网站以查看它是否正常工作...您可以使用“HttpRequester”mozilla firefox 插件。对于这个插件:https://addons.mozilla.org/En-us/firefox/addon/httprequester/
PS:我对其进行了测试,它在 IIS 服务器上对我有用。 Visual Studio 尚未创建临时 IIS 服务器。
【讨论】:
不幸的是,您在网上找到的大部分关于删除 IIS 中的“服务器”标头的建议都不适用于 IIS 8.0 和 8.5。我找到了唯一可行的选择,在我看来,也是最好的选择是使用 IIS Native-Code 模块。
本机代码模块不同于更常见的托管模块,因为它们是使用 win32 API 而不是 ASP.NET 编写的。这意味着它们适用于所有请求(包括静态页面和图像),而不仅仅是通过 ASP.NET 管道过去的请求。使用 Native-Code 模块,可以在请求的最后删除不需要的标头,这意味着您可以删除标头(包括“服务器”标头),无论它们是在哪里设置的。
以下文章中提供了用于在 IIS 7.0 到 8.5 中删除标头的示例 Native-Code 模块的二进制文件和源代码。
http://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85
【讨论】:
现在可以从 IIS 10.0 开始从 web.config 中删除 Server 标头:
<security>
<requestFiltering removeServerHeader ="true" />
</security>
有关如何删除所有不需要/不必要的标头的更多详细信息,请参见here。
请注意,这会像所有其他方法一样从“应用程序”中隐藏服务器标头。如果你例如到达某些默认页面或由 IIS 本身或应用程序外部的 ASP.NET 生成的错误页面,这些规则将不适用。因此理想情况下,它们应该位于 IIS 的根级别,并且可能会给 IIS 本身留下一些错误响应。
在 IIS 10 中有一个 bug,即使使用配置,它有时也会显示标题。现在应该已经修复了,但是 IIS/Windows 必须更新。
【讨论】:
针对上述问题,在 Global.asax.cs 中添加如下代码
protected void Application_PreSendRequestHeaders()
{
Response.Headers.Remove("Server");
Response.AddHeader("Sample1", "Value1");
}
浏览了这么多问题终于解决了。
【讨论】:
只需在 web.config 的自定义 headers 段中使用 clear 标记:
<system.webServer>
<httpProtocol>
<customHeaders>
<clear />
<add name="X-Custom-Name1" value="MyCustomValue1" />
<add name="X-Custom-Name2" value="MyCustomValue2" />
</customHeaders>
</httpProtocol>
</system.webServer>
对于动态标题,您可以在 Global.ascx 中使用此代码:
protected void Application_PreSendRequestHeaders()
{
Response.Headers.Remove("Server");
Response.AddHeader("Sample1", "Value1");
}
【讨论】:
这很简单。只需创建一个自定义模块:
public class HeaderStripModule : IHttpModule
{
public void Init(HttpApplication application)
{
application.PreSendRequestHeaders += (sender, args) => HttpContext.Current.Response.Headers.Remove("Server");
}
public void Dispose(){}
}
如果你想在机器范围内实现,然后注册web.config 或applicationHost.config。
<system.webServer>
<modules>
<add name="HeaderStripModule" type="MyNamespace.HeaderStripModule" />
</modules>
</system.webServer>
【讨论】:
server 标头进行 url 扫描,这不再像以前那样有用:troyhunt.com/2012/02/shhh-dont-let-your-response-headers.html
从 IIS 7.5 开始,URLScan 已停止使用,因为它的功能应该可以通过“请求过滤”选项(IIS 7.5 中添加的功能)提供。
但 URLScan 的“删除服务器标头”选项在“请求过滤”中似乎没有任何等效项。
如this answer 和this answer to you question 所述,您可以使用 URLRewrite 清空Server,它在 IIS 8/8.5 上仍然可用(在 IIS 管理控制台中具有其 UI 需要一些更新)。
事实证明,查看this blog,如果缺少官方支持不是问题,URLScan 仍然可以安装在 IIS 8/8.5 上。
我还没有测试过自己。步骤如下:
ini 文件配置URLScan(默认在C:\Windows\System32\inetsrv\urlscan 中)也许应该进行一些iisreset 甚至重新启动。 URLScan 应该在 IIS 中的 Isapi 过滤器中可见
【讨论】:
在 IIS 管理器的服务器级别,转到“功能”视图。单击 HTTP 响应标头。您可以在那里添加/删除标题。您还可以在站点级别管理响应标头。
【讨论】:
Server 标头。您的答案仅针对X-powered 等。您无法通过HTTP Response Headers 删除Server