In IIS 7.0
integrated mode
nach dem Löschen aller Header mit Response.ClearHeaders()
IIS würde einige andere Header wie Server
und X-Powered-By
hinzufügen, die gute Informationen für Hacker offenbart. Wie kann ich dieses Verhalten stoppen (muss ich noch meine benutzerdefinierten Header hinzufügen)?So löschen Sie benutzerdefinierte IIS-Header wie X-Powered-By: ASP.NET aus Antwort?
Antwort
Die X-Powered-By
ist in IIS konfiguriert. Unter Windows 7 ist es speziell:
- IIS-Manager
- COMPUTER NAME> Sites> Standardwebsite
- HTTP Respons Headers
- entfernen
X-Powered-By
Ich bin nicht sicher, was das erzeugt Server
Header obwohl.
Danke. Mindestens 50% Fortschritt. Ich bevorzuge einen allgemeinen Ansatz von innerhalb asp.net wenn möglich. – Xaqron
@Xaqron, Sie können wahrscheinlich programmatisch auf die Einstellung zugreifen, aber ich weiß nicht, wie nebenbei. Es tut uns leid. –
URLScan verwendet werden können Server-Header zu entfernen, oder einen anderen Server-Header konfigurieren, http://learn.iis.net/page.aspx/938/urlscan-3-reference/
Aber es verhindert, dass nie wirklich ein Hacker wissen, was Sie tatsächlich nutzen. Es gibt natürlich andere Möglichkeiten, Ihre Serverinformationen zu erkennen.
Danke. Es sollte etwas wie config-Abschnitte oder im schlimmsten Fall eine Registry-Manipulation eingebaut sein, anstatt eine Komponente zu installieren, deren Hauptzweck nicht darin besteht, SERVER-Header zu löschen. – Xaqron
Ich sagte bereits, dass nicht jeder denkt, Server Header zu zeigen ist schlecht. Also warum sollte es eingebaut werden, wenn nur wenige Leute es benutzen? –
Sie können diese zu Ihrem Web.Config hinzufügen:
<system.webServer>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
</customHeaders>
</httpProtocol>
</system.webServer>
Update: wenn Sie das MVC-Framework verwenden würde ich auch als auch die X-AspNetMvc-Version
und X-AspNet-Version
Header empfehlen zu entfernen. Dies erreichen Sie, indem Sie MvcHandler.DisableMvcResponseHeader = true
in Ihrer Global.asax
Datei und <system.web><httpRuntime enableVersionHeader="false" /></system.web>
in Ihrer Web.config
eingeben.
In IIS 10.0 (und Azure Web Apps) können Sie auch den Header 'Server' mit'
Für IIS7 + integrierten Modus hat eth0 es: <customHeaders>
Tag in web.config. Dank dafür. Wie für den "Server" Header, bei Verwendung von MVC, können Sie einfach hinzufügen:
protected void Application_PreSendRequestHeaders()
{
Response.Headers.Remove("Server");
}
auf Ihre MvcApplication Klasse in Global.asax. Andernfalls können Sie einfach ein benutzerdefiniertes HTTP-Modul hinzufügen, das das PreSendRequestHeaders-Ereignis behandelt, und dasselbe tun.
PreSendRequestHeaders ist kein Teil der verwalteten Pipeline und kann seltsame Ergebnisse wie eingefrorene asynchrone Anforderungen erzeugen. http://www.asp.net/aspnet/overview/web-development-best-practices/what-not-to-do-in-aspnet-and-what-to-doinestate#presend. –
Die folgende Antwort enthält eine vollständige Lösung, für die weder URLScan noch ein benutzerdefiniertes HttpModule erforderlich ist, und entfernt alle von Ihnen genannten verwandten Header. Es funktioniert auch auf Azure.
Removing/Hiding/Disabling excessive HTTP response headers in Azure/IIS7 without UrlScan
- 1. ASP.NET benutzerdefinierte Fehlerseite HTTP-Antwort
- 2. So löschen Sie die Ajax-Antwort
- 3. So löschen Sie ein ASP.NET-Datagrid?
- 4. So validieren Sie benutzerdefinierte ASP.NET MVC-Helfer
- 5. Löschen aus mehreren Tabellen ASP.NET
- 6. So löschen Sie aus der Firebase-Echtzeitdatenbank?
- 7. So löschen Sie Dokumente aus Elasticsearch
- 8. So löschen Sie Einträge aus einer ArrayList?
- 9. So löschen Sie aus einer Sharepoint-Liste?
- 10. So löschen Sie Einträge aus Firebase
- 11. So löschen Sie Datensätze aus DB mit Composite-Schlüssel
- 12. So beenden Sie die Antwort in ASP.NET-Web-API-Methode
- 13. So löschen Sie benutzerdefinierte Build-Einstellungen in Xcode 4.3.1
- 14. So fügen Sie benutzerdefinierte Attribute zu ASP.NET-Steuerelemente
- 15. Wie server-side cache ASP.NET benutzerdefinierte HttpHandler Antwort
- 16. Zend Framework - löschen Sie eine benutzerdefinierte Platzhalter aus einem Viewscript
- 17. So implementieren Sie benutzerdefinierte Authentifizierung in ASP.NET MVC 5
- 18. So löschen Sie JTable
- 19. So löschen/löschen Sie eine Cache-Variable
- 20. Wie benutzerdefinierte SOAP-Header aus Antwort mit WCF-Client lesen
- 21. So löschen Sie temporäre ASP.net-Dateien in einer Produktionsumgebung?
- 22. So löschen Sie MemoryCache?
- 23. So zeigen Sie benutzerdefinierte Fehlermeldung auf asp.net Kompilierungsfehler an
- 24. So fügen Sie benutzerdefinierte ASP.NET-Seiten zum Sharepoint hinzu
- 25. So entfernen Sie X-Frame-Optionen aus der Antwort
- 26. FirebaseStorage: So löschen Sie Verzeichnis
- 27. So extrahieren Sie Daten aus einer JSON-Antwort
- 28. So senden Sie Antwort-Code aus Python mit CGI-Paket
- 29. So geben Sie ein Berührungsereignis in der nativen Antwort aus
- 30. So löschen Sie den Inhalt aus der Textdatei beim Löschen aus datagridview
möglich Duplikat [Entfernen/Ausblenden/Deaktivieren übermäßige HTTP-Response-Header in Azure/IIS7 ohne UrlScan] (http://stackoverflow.com/questions/12803972/removing-hiding-disabling-excessive-http -response-headers-in-azure-iis7-ohne) – CrazyPyro
Ich weiß, dass dieser zuerst gefragt wurde, aber diese andere Frage ist jetzt vollständiger und aktuell. – CrazyPyro