Suppression d'en-tête du Serveur de contenu statique dans IIS 7/8

Dans le cadre d'un effort pour rendre notre API et site plus sûr, je suis retrait des en-têtes et de fuites d'informations à propos de ce que le site est en cours d'exécution.

Exemple avant de se dénuder en-têtes:

HTTP/1.1 500 Internal Server Error
Cache-Control: private
Content-Type: text/html; charset=utf-8
Server: Microsoft-IIS/8.0
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Date: Wed, 05 Jun 2013 00:27:54 GMT
Content-Length: 3687

Web.config:

<httpProtocol>
  <customHeaders>
    <remove name="X-Powered-By" />
  </customHeaders>
</httpProtocol>

Mondiale.asax.cs:

protected void Application_PreSendRequestHeaders() {
    Response.Headers.Remove("Server");
    Response.Headers.Remove("X-AspNet-Version");
    Response.Headers.Remove("X-AspNetMvc-Version");
    Response.AddHeader("Strict-Transport-Security", "max-age=300");
    Response.AddHeader("X-Frame-Options", "SAMEORIGIN");
}

Et après cela, tous les appels vers le site et les API de revenir plus sûres en-têtes, comme suit:

HTTP/1.1 500 Internal Server Error
Cache-Control: private
Content-Type: text/html; charset=utf-8
Date: Wed, 05 Jun 2013 00:27:54 GMT
Content-Length: 3687

Donc bon. Cependant, j'ai remarqué dans Firebug que si vous regardez le contenu statique (loading.gif, par exemple), il ne comprend toujours l'en-tête du serveur.

HTTP/1.1 304 Not Modified
Cache-Control: no-cache
Accept-Ranges: bytes
Etag: "a3f2a35bdf45ce1:0"
Server: Microsoft-IIS/8.0
Date: Tue, 25 Jun 2013 18:33:16 GMT

Je suppose que c'est en cours de traitement par les services IIS en quelque sorte, mais ne peut pas trouver n'importe où de supprimer l'en-tête. J'ai essayé d'ajouter:

<remove name="Server" />

à la httpProtocol/customHeaders section dans le Web.config, comme mentionné ci-dessus. J'ai aussi essayé d'aller dans le Gestionnaire des services internet de la Réponse HTTP en-Têtes de section et l'ajout d'un faux paire nom/valeur pour le Serveur d'en-tête. Dans les deux cas, il renvoie toujours

Server: Microsoft-IIS/8.0

lors du chargement de toutes les images, les CSS ou JS. Où/que dois-je mettre quelque chose pour résoudre ce problème?

InformationsquelleAutor Chris Doggett | 2013-06-25

asp.net c#http-headers iis security

5

Vous devriez être en mesure de forcer toutes les demandes passent par votre code managé en ajoutant ceci à votre webconfig:
```
<modules runAllManagedModulesForAllRequests="true">
```
Alors, même les fichiers statiques devraient adhérer à votre en-tête de règles.
- Merci, cela a fonctionné à merveille. En général, il ya beaucoup à s'inquiéter en termes de vitesse de le faire de cette façon? Pour notre application/API, c'est un public limité, les choses sont mises en cache et les requêtes prennent la part du lion de la taille de réponse/temps, donc je ne suis pas vraiment inquiet. Tout juste bon à savoir.
- La filature de l'ensemble de la ASP.Net pile pour servir les fichiers statiques va être plus de ressources, c'est pourquoi il n'est pas fait par défaut. Mais en fonction de votre situation, il semble que le coût est la valeur de l'avantage.
- Cette réponse à une autre question (stackoverflow.com/a/12615970/64203) en fait la liquidation de ne pas avoir besoin de frapper la pile complète, donc j'ai fini par aller avec elle pour ma dernière solution, mais merci encore pour l'aide.
- Vous ne devriez pas l'utiliser. C'est un gaspillage de ressources: britishdeveloper.co.royaume-uni/2010/06/...
- Cela n'a aucun effet sur les fichiers statiques / 304 réponses. J'ai fait toutes ces étapes, mais lorsqu'un navigateur demande un fichier statique et le serveur renvoie "304 not Modified", "Serveur" en-tête est toujours là.
- Cela ne fonctionne pas pour les répertoires virtuels être servi à partir de IIS ne sont associés à aucune ASP.Net application.
- Ha! votre commentaire juste en clued sur moi sur mon problème, vous pouvez apporter des modifications à tout régler correctement, mais si le contenu est toujours dans votre cache local, il sert encore la vieille en-têtes pour le navigateur. Flush cache du navigateur et tester à nouveau et il fonctionne très bien maintenant. Yay!!!
InformationsquelleAutor Bill Gregg

De la même façon que dans cette réponse, et dans ce site internet:, vous devez utiliser les étapes suivantes:

C#:

namespace MvcExtensions.Infrastructure
{
    public class CustomServerName : IHttpModule
    {
        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders += OnPreSendRequestHeaders;
        }

        public void Dispose() { }

        void OnPreSendRequestHeaders(object sender, EventArgs e)
        {
            HttpContext.Current.Response.Headers.Remove("Server");
        }
    }
}

Web.config:

<system.webServer>
   <modules>
      <add name="CustomHeaderModule" type="MvcExtensions.Infrastructure.CustomServerName" />
   </modules>
</system.webServer>

J'ai peut-être mal compris les choses, mais ce MME site docs.microsoft.com/en-us/aspnet/aspnet/overview/... met en garde sur l'utilisation de la PreSendRequest événement. Donc, je pense que @hexpoint 's réponse est mieux (je viens de tester et cela a fonctionné comme un charme) stackoverflow.com/a/49457128/3569421
* Le seul inconvénient, c'est que @hexpoint 's réponse ne fonctionne pas sur IIS 7.5, uniquement sur IIS 10 +

InformationsquelleAutor Gabriel

8

Malheureusement réussi les modules de code ne fonctionne que pour du code en passant par la ASP.NET pipeline, tandis que d'autres ont correctement a suggéré qu'il est possible de forcer toutes les demandes via le code managé, personnellement, je pense que c'est moins que souhaitable.

Afin de supprimer les en-têtes de toutes les demandes, y compris du contenu statique, qui par défaut est servi directement et non via le code managé, il est possible d'utiliser un Code Natif module. Malheureusement, le Code Natif modules sont un peu plus difficile à écrire, car ils utilisent l'Api win32, plutôt que de ASP.NET cependant, dans mon expérience, ils sont beaucoup plus adaptée à la suppression des en-têtes.

Le lien suivant a des binaires et le code source en Code Natif module qui peut être utilisé pour supprimer des en-têtes. Il ne nécessite aucune configuration supplémentaire pour supprimer le "Serveur" en-têtes, mais d'autres en-têtes à supprimer peut être ajouté dans la configuration IIS.

http://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85
- Je ne sais pas pourquoi cela a été voté en bas. Cela ressemble à une assez forte réponse. +1
InformationsquelleAutor ph1ll
6

Le seul sans un facile répertoriés solution était le "Serveur" en-tête. J'ai été en mesure de supprimer localement dans IIS et dans l'Azur du site web par l'ajout de cette dans le web.config
```
<system.webServer>
  <security>
    <requestFiltering removeServerHeader="true" />
  </security>
</system.webServer>
```
- Malheureusement, cela ne fonctionne que dans IIS 10.0+, et l'OP a déclaré à la question titre que sa situation impliqués IIS 7/8.
InformationsquelleAutor hexpoint

Utiliser IIS UrlRewrite 2.0 pour le découpage de la réponse du Serveur en-tête. Ajoutez le code suivant dans le Web.fichier de configuration

 <system.webServer>
<rewrite>
<outboundRules>
<rule name="Remove RESPONSE_Server" >
<match serverVariable="RESPONSE_Server" pattern=".+" />
<action type="Rewrite" value="" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>

https://stackoverflow.com/a/12615970/5810078

InformationsquelleAutor Aathira

Vous devez vous connecter pour publier un commentaire.