Pourquoi l'en-tête de réponse "Serveur" ne peut-il pas être supprimé via web.config dans IIS7?

Supprimer le Serveur en-Tête de Réponse IIS7

Je sais comment pour supprimer le Server en-tête de réponse avec un Module HTTP basée sur le lien ci-dessus.

Je veux juste savoir pourquoi il est nécessaire de l'enlever de cette façon.

source d'informationauteur David Murdoch

  1. 5

    Les commentaires dans Aristos lien donne une bonne réponse au Pourquoi.

    Il se résume à MS ne voulant pas laisser les gens de modifier cette valeur. Que ce soit pour la commercialisation ou à d'autres fins est ouvert à l'interprétation.

    Une chose à retenir de cette discussion est que la modification de l'en-tête du serveur n'est pas utile pour toute sorte de sécurité. Il existe une multitude de façons que vous pouvez détecter exactement ce genre (et version) de logiciel de serveur web est en cours d'exécution.

    Ce qui nous laisse avec une seule raison de le faire: pour économiser des octets. Sauf si vous êtes en cours d'exécution extrêmement élevé de trafic de site ce n'est pas un sujet de préoccupation. Si vous exécutez un trafic élevé de site, alors vous êtes plus que probablement déjà en cours d'exécution d'un ou plusieurs modules personnalisés.

  2. 2

    Cet exemple n'est pas vraiment supprimer le "serveur" de l'en-tête, il suffit d'écrire quelque chose sur elle.

    Un meilleur titre est "IIS7 comment envoyer une coutume "Serveur" en-tête http". Lire cet article similaire http://blogs.technet.com/b/stefan_gossner/archive/2008/03/12/iis-7-how-to-send-a-custom-server-http-header.aspx

    Maintenant, si vous vous demandez pourquoi cette façon, ce n'est pas la seule façon, vous pouvez aller à votre serveur web, puis il suffit de retirer aux initiales des en-têtes.

    Si vous vous demandez, pourquoi utiliser le IHttpModule + PreSendRequestHeader, parce que c'est la façon dont vous prenez les en-têtes sur la partie initiale et de placer d'abord le "serveur" de l'en-tête avant de iis faire.

    Espérons que cette aide.

  3. 0

    Idée de base de la suppression de ceux d'en-tête sont comme suit

    1. Pour des raisons de sécurité. il ne sera pas facile à déterminer par l'attaquant
      sur le logiciel(version) et le serveur web est la sauvegarde du site.
    2. Il réduire la taille des données à produire par le serveur au navigateur.

    Lire plus sur l'Inspection des en-Têtes de Réponse Http

  4. 0

    Vous pouvez également vide, la valeur par l'ajout d'une outboundRule dans le web.fichier de configuration de IIS 7+:

    <?xml version="1.0" encoding="utf-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <outboundRules rewriteBeforeCache="true">
                <rule name="Remove Server header">
                    <match serverVariable="RESPONSE_Server" pattern=".+" />
                    <action type="Rewrite" value="" />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>
  5. -1

    Response.Headers.Set("Server", "My Awesome Server"); fonctionne très bien dans la Page code-behind, tant que le pool d'applications est réglé sur "Pipeline Intégré Mode."

    Fondamentalement, l'IPM est précisément dans le but d'avoir l'IIS pipeline être intégré avec le ASP.NET pipeline pour permettre ce genre de chose à faire. Voir Mehrdad Afshari Réponse de discussion.