作为努力使我们的API和网站更安全的一部分,我正在删除泄漏有关网站运行信息的标题。
剥离标题之前的示例:
HTTP/1.1 500 Internal Server Error
Cache-Control: private
Content-Type: text/html; charset=utf-8
Server: Microsoft-IIS/8.0
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Date: Wed, 05 Jun 2013 00:27:54 GMT
Content-Length: 3687
的Web.config:
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
</customHeaders>
</httpProtocol>
的Global.asax.cs:
protected void Application_PreSendRequestHeaders() {
Response.Headers.Remove("Server");
Response.Headers.Remove("X-AspNet-Version");
Response.Headers.Remove("X-AspNetMvc-Version");
Response.AddHeader("Strict-Transport-Security", "max-age=300");
Response.AddHeader("X-Frame-Options", "SAMEORIGIN");
}
之后,对网站和API的所有调用都返回更安全的标题,如下所示:
HTTP/1.1 500 Internal Server Error
Cache-Control: private
Content-Type: text/html; charset=utf-8
Date: Wed, 05 Jun 2013 00:27:54 GMT
Content-Length: 3687
到目前为止,这么好。但是,我在Firebug中注意到,如果你查看静态内容(例如,loading.gif),它仍然包含服务器头。
HTTP/1.1 304 Not Modified
Cache-Control: no-cache
Accept-Ranges: bytes
Etag: "a3f2a35bdf45ce1:0"
Server: Microsoft-IIS/8.0
Date: Tue, 25 Jun 2013 18:33:16 GMT
我假设这是由IIS以某种方式处理,但无法找到任何地方删除该标头。我试过添加:
<remove name="Server" />
到Web.config中的httpProtocol / customHeaders部分,如上所述。我还尝试进入IIS管理器的HTTP响应标头部分,并为服务器标头添加假名称/值对。在这两种情况下,它仍然会返回
Server: Microsoft-IIS/8.0
加载任何图像,CSS或JS时。在哪里/我需要设置什么来解决这个问题?
答案 0 :(得分:11)
与this answer和this website:中的方式相同,您应该使用以下步骤:
C#:
namespace MvcExtensions.Infrastructure
{
public class CustomServerName : IHttpModule
{
public void Init(HttpApplication context)
{
context.PreSendRequestHeaders += OnPreSendRequestHeaders;
}
public void Dispose() { }
void OnPreSendRequestHeaders(object sender, EventArgs e)
{
HttpContext.Current.Response.Headers.Remove("Server");
}
}
}
的Web.config:
<system.webServer>
<modules>
<add name="CustomHeaderModule" type="MvcExtensions.Infrastructure.CustomServerName" />
</modules>
</system.webServer>
答案 1 :(得分:7)
不幸的是,托管代码模块仅适用于通过ASP.NET管道传递的代码,而其他人正确地建议可以通过托管代码强制所有请求,我个人觉得这不太理想。
为了从所有请求中删除标头,包括默认直接提供而不是通过托管代码提供的静态内容,可以使用Native-Code模块。不幸的是,Native-Code模块编写起来要困难得多,因为它们使用win32 API而不是ASP.NET,但根据我的经验,它们更适合删除标题。
以下链接包含可用于删除标头的Native-Code模块的二进制文件和源代码。它不需要额外的配置来删除&#34; Server&#34;标题,但可以在IIS配置中添加要删除的其他标题。
http://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85
答案 2 :(得分:5)
唯一一个没有简单列出的解决方案的是“服务器”标题。通过在web.config
中添加它,我能够在IIS和Azure网站中将其删除<system.webServer>
<security>
<requestFiltering removeServerHeader="true" />
</security>
</system.webServer>
答案 3 :(得分:4)
您应该能够强制所有请求通过将其添加到您的webconfig来管理您的托管代码:
<modules runAllManagedModulesForAllRequests="true">
然后,即使是静态文件也应遵守标题规则。
答案 4 :(得分:2)
使用IIS UrlRewrite 2.0来消隐Server响应头。在Web.config文件中添加以下代码
<system.webServer>
<rewrite>
<outboundRules>
<rule name="Remove RESPONSE_Server" >
<match serverVariable="RESPONSE_Server" pattern=".+" />
<action type="Rewrite" value="" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>