从IIS 7/8中的静态内容中删除服务器标头

时间:2013-06-25 18:46:42

标签: c# asp.net security iis http-headers

作为努力使我们的API和网站更安全的一部分,我正在删除泄漏有关网站运行信息的标题。

剥离标题之前的示例:

HTTP/1.1 500 Internal Server Error
Cache-Control: private
Content-Type: text/html; charset=utf-8
Server: Microsoft-IIS/8.0
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Date: Wed, 05 Jun 2013 00:27:54 GMT
Content-Length: 3687

的Web.config:

<httpProtocol>
  <customHeaders>
    <remove name="X-Powered-By" />
  </customHeaders>
</httpProtocol>

的Global.asax.cs:

protected void Application_PreSendRequestHeaders() {
    Response.Headers.Remove("Server");
    Response.Headers.Remove("X-AspNet-Version");
    Response.Headers.Remove("X-AspNetMvc-Version");
    Response.AddHeader("Strict-Transport-Security", "max-age=300");
    Response.AddHeader("X-Frame-Options", "SAMEORIGIN");
}

之后,对网站和API的所有调用都返回更安全的标题,如下所示:

HTTP/1.1 500 Internal Server Error
Cache-Control: private
Content-Type: text/html; charset=utf-8
Date: Wed, 05 Jun 2013 00:27:54 GMT
Content-Length: 3687

到目前为止,这么好。但是,我在Firebug中注意到,如果你查看静态内容(例如,loading.gif),它仍然包含服务器头。

HTTP/1.1 304 Not Modified
Cache-Control: no-cache
Accept-Ranges: bytes
Etag: "a3f2a35bdf45ce1:0"
Server: Microsoft-IIS/8.0
Date: Tue, 25 Jun 2013 18:33:16 GMT

我假设这是由IIS以某种方式处理,但无法找到任何地方删除该标头。我试过添加:

<remove name="Server" /> 

到Web.config中的httpProtocol / customHeaders部分,如上所述。我还尝试进入IIS管理器的HTTP响应标头部分,并为服务器标头添加假名称/值对。在这两种情况下,它仍然会返回

Server: Microsoft-IIS/8.0

加载任何图像,C​​SS或JS时。在哪里/我需要设置什么来解决这个问题?

5 个答案:

答案 0 :(得分:11)

this answerthis website:中的方式相同,您应该使用以下步骤:

C#:

namespace MvcExtensions.Infrastructure
{
    public class CustomServerName : IHttpModule
    {
        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders += OnPreSendRequestHeaders;
        }

        public void Dispose() { }

        void OnPreSendRequestHeaders(object sender, EventArgs e)
        {
            HttpContext.Current.Response.Headers.Remove("Server");
        }
    }
}

的Web.config:

<system.webServer>
   <modules>
      <add name="CustomHeaderModule" type="MvcExtensions.Infrastructure.CustomServerName" />
   </modules>
</system.webServer>

答案 1 :(得分:7)

不幸的是,托管代码模块仅适用于通过ASP.NET管道传递的代码,而其他人正确地建议可以通过托管代码强制所有请求,我个人觉得这不太理想。

为了从所有请求中删除标头,包括默认直接提供而不是通过托管代码提供的静态内容,可以使用Native-Code模块。不幸的是,Native-Code模块编写起来要困难得多,因为它们使用win32 API而不是ASP.NET,但根据我的经验,它们更适合删除标题。

以下链接包含可用于删除标头的Native-Code模块的二进制文件和源代码。它不需要额外的配置来删除&#34; Server&#34;标题,但可以在IIS配置中添加要删除的其他标题。

http://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85

答案 2 :(得分:5)

唯一一个没有简单列出的解决方案的是“服务器”标题。通过在web.config

中添加它,我能够在IIS和Azure网站中将其删除
<system.webServer>
  <security>
    <requestFiltering removeServerHeader="true" />
  </security>
</system.webServer>

答案 3 :(得分:4)

您应该能够强制所有请求通过将其添加到您的webconfig来管理您的托管代码:

<modules runAllManagedModulesForAllRequests="true">

然后,即使是静态文件也应遵守标题规则。

答案 4 :(得分:2)

使用IIS UrlRewrite 2.0来消隐Server响应头。在Web.config文件中添加以下代码

 <system.webServer>
<rewrite>
<outboundRules>
<rule name="Remove RESPONSE_Server" >
<match serverVariable="RESPONSE_Server" pattern=".+" />
<action type="Rewrite" value="" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>

https://stackoverflow.com/a/12615970/5810078