我有几个IIS / 6.0服务器,安全性要求我删除几个响应请求发送到客户端浏览器的响应标头.他们担心通过响应标头泄露平台信息.我已经删除了网站的IIS配置中的所有HTTP-HEADERS(X-Powered-By或某些此类标头).
(我个人确实知道这些信息很容易找到,即使它被隐藏了,但这不是我的号召.)
>服务器 – Microsoft-IIS / 6.0
> X-AspNet-Version – 2.0.50727
我也知道ASP.NET MVC也会发出自己的标题,如果你知道如何删除它,那将会有所帮助.
> X-AspNetMvc-Version – 1.0
解决方法
您的安全部门希望您这样做以使服务器类型更难识别.这可能会减少自动黑客工具的攻击,并使人们更难以闯入服务器.
在IIS中,打开网站属性,然后转到HTTP标头选项卡.这里可以找到并删除大多数X-header.这可以针对单个站点或整个服务器完成(修改树中Web站点对象的属性).
对于Server标头,在IIS6上,您可以使用Microsoft的URLScan工具进行远程操作. Port 80 Software还生产了一款名为ServerMask的产品,它将为您提供更多的服务.
对于IIS7,有一个great article正在使用自定义模块来修改Server标头.
对于MVC标头,在Global.asax中:
MvcHandler.DisableMvcResponseHeader = true;
