Supprimer l'en-tête de réponse du serveur IIS7

Existe-t-il un moyen de supprimer l'en-tête de réponse "Server" d'IIS7? Certains articles montrent qu'en utilisant HttpModules, nous pouvons réaliser la même chose. Cela sera utile si nous n'avons pas le droit d'administrateur sur le serveur. Je ne veux pas non plus écrire de filtre ISAPI.

J'ai des droits d'administrateur sur mon serveur. Donc je ne veux pas faire les choses ci-dessus. Alors, aidez-moi à faire de même.

Ajoutez ceci à votre global.asax.cs:

protected void Application_PreSendRequestHeaders()
{
    Response.Headers.Remove("Server");
    Response.Headers.Remove("X-AspNet-Version");
    Response.Headers.Remove("X-AspNetMvc-Version");
}

Dans IIS7, vous devez utiliser un module HTTP. Créez ce qui suit en tant que bibliothèque de classes dans VS:

namespace StrongNamespace.HttpModules
{
  public class CustomHeaderModule : IHttpModule
  { 
    public void Init(HttpApplication context)
    {
      context.PreSendRequestHeaders += OnPreSendRequestHeaders;
    } 

    public void Dispose() { } 

    void OnPreSendRequestHeaders(object sender, EventArgs e)
    {
      HttpContext.Current.Response.Headers.Set("Server", "Box of Bolts");
    }
  }
}

Ajoutez ensuite ce qui suit à votre web.config, ou vous le configurez dans IIS (si vous configurez dans IIS, l'assembly doit être dans le GAC).

<configuration>
  <system.webServer>
    <modules>
      <add name="CustomHeaderModule"
       type="StrongNamespace.HttpModules.CustomHeaderModule" />
    </modules>
  </system.webServer>
</configuration>

Avec le module de réécriture d'URL version 2.0 pour IIS (UrlRewrite) activé, dans la section de configuration <configuration>➡ <system.webServer>➡ <rewrite>ajoutez la règle sortante:

<outboundRules>
  <rule name="Remove RESPONSE_Server" >
    <match serverVariable="RESPONSE_Server" pattern=".+" />
    <action type="Rewrite" value="" />
  </rule>
</outboundRules>

Scott Mitchell propose dans un article de blog des solutions pour supprimer les en-têtes inutiles .

Comme déjà dit ici dans d'autres réponses, pour l'en- Servertête, il existe la solution de module http , ou une solution web.config pour IIS 10+ , ou vous pouvez utiliser URLRewrite à la place pour le supprimer .

La solution la plus pratique pour une configuration à jour (IIS 10 +) consiste à utiliser removeServerHeaderdans le web.config:

<system.webServer>
  ...
  <security>
    <requestFiltering removeServerHeader="true" />
  </security>
  ...
</system.webServer>

Pour X-AspNet-Versionet X-AspNetMvc-Version, il offre un meilleur moyen que de les supprimer à chaque réponse: simplement ne pas les générer du tout.

Utiliser enableVersionHeaderpour désactiver X-AspNet-Version, dans web.config

<system.web>
  ...
  <httpRuntime enableVersionHeader="false" />
  ...
</system.web>

Utilisation MvcHandler.DisableMvcResponseHeaderdans l'événement .Net Application_Start pour la désactivationX-AspNetMvc-Version

MvcHandler.DisableMvcResponseHeader = true;

Et enfin, supprimez dans la configuration IIS l'en- X-Powered-Bytête personnalisé dans web.config.

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <remove name="X-Powered-By" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

Attention, si vous avez ARR (Application Request Routing), il ajoutera également le sien X-Powered-By, qui ne sera pas supprimé par les paramètres d'en-têtes personnalisés. Celui-ci doit être supprimé via le gestionnaire IIS, configuration de l'éditeur sur la racine IIS (pas sur un site): accédez au system.webServer/proxynœud et définissez-le arrResponseHeadersur false. Après un IISReset, il est pris en compte.
(J'ai trouvé celui-ci ici , sauf que cet article concerne l'ancienne manière de configurer les choses par IIS 6.0.)

N'oubliez pas que la solution par code d'application ne s'applique pas par défaut à l'en-tête généré sur le contenu statique (vous pouvez activer le runAllManagedModulesForAllRequestspour modifier cela, mais cela entraîne toutes les requêtes à exécuter le pipeline .Net). Ce n'est pas un problème pourX-AspNetMvc-Version car il n'est pas ajouté sur le contenu statique (du moins si les requêtes statiques ne sont pas exécutées dans le pipeline .Net).

Remarque: lorsque l'objectif est de masquer la technologie utilisée, vous devez également changer les noms de cookies standard .Net ( .ASPXAUTHsi l'authentification des formulaires est activée (utiliser l' nameattribut sur la formsbalise dans web.config), ASP.NET_SessionId(utiliser <sessionState cookieName="yourName" />dans web.config sous la system.webbalise), __RequestVerificationToken(le modifier par code avec AntiForgeryConfig.CookieName, mais ne s'applique malheureusement pas à l'entrée cachée que ce système génère dans le html)).

En fait, les modules codés et les exemples Global.asax présentés ci-dessus ne fonctionnent que pour les requêtes valides.

Par exemple, ajoutez <à la fin de votre URL et vous obtiendrez une page "Demande incorrecte" qui expose toujours l'en-tête du serveur. Beaucoup de développeurs oublient cela.

Les paramètres de registre affichés ne fonctionnent pas non plus. URLScan est le SEUL moyen de supprimer l'en-tête «serveur» (au moins dans IIS 7.5).

Ou ajoutez dans web.config:

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <remove name="X-AspNet-Version" />
            <remove name="X-AspNetMvc-Version" />
            <remove name="X-Powered-By" />
            <!-- <remove name="Server" />  this one doesn't work -->
        </customHeaders>
    </httpProtocol>
</system.webServer>

Cette web.configconfiguration fonctionne pour supprimer tous les en-têtes inutiles de la réponse ASP.NET (au moins à partir d'IIS 10):

<!--Removes version headers from response -->
<httpRuntime enableVersionHeader="false" />

<httpProtocol>
  <customHeaders>
    <!--Removes X-Powered-By header from response -->
    <clear />
  </customHeaders>
</httpProtocol>

<security>
  <!--Removes Server header from response-->
  <requestFiltering removeServerHeader ="true" />
</security>

Veuillez noter que cela masque tous les en-têtes de "l'application", comme toutes les autres approches. Si, par exemple, vous atteignez une page par défaut ou une page d'erreur générée par IIS lui-même ou ASP.NET en dehors de votre application, ces règles ne s'appliqueront pas. Donc, idéalement, ils devraient être au niveau racine dans IIS et ce seuil peut laisser des réponses d'erreur à IIS lui-même.

PS Il y a un bogue dans IIS 10 qui fait parfois afficher l'en-tête du serveur même avec une configuration correcte. Cela devrait être corrigé maintenant, mais IIS / Windows doit être mis à jour.

En plus de la réponse de réécriture d'URL , voici le XML complet pourweb.config

<system.webServer>
  <rewrite>
    <outboundRules>
      <rule name="Remove RESPONSE_Server" >
        <match serverVariable="RESPONSE_Server" pattern=".+" />
        <action type="Rewrite" value="Company name" />
      </rule>
    </outboundRules>
  </rewrite>
</system.webServer>

Réécriture d'URL

Pour supprimer l'en- Server:tête, allez dans Global.asax, recherchez / créez l' Application_PreSendRequestHeadersévénement et ajoutez une ligne comme suit (grâce à BK et à ce blog, cela n'échouera pas non plus sur le développement Cassini / local):

protected void Application_PreSendRequestHeaders(object sender, EventArgs e)
{
    // Remove the "Server" HTTP Header from response
    HttpApplication app = sender as HttpApplication;
    if (null != app && null != app.Request && !app.Request.IsLocal &&
        null != app.Context && null != app.Context.Response)
    {
        NameValueCollection headers = app.Context.Response.Headers;
        if (null != headers)
        {
            headers.Remove("Server");
        }
    }
}

Si vous souhaitez une solution complète pour supprimer tous les en-têtes associés sur Azure / IIS7 et fonctionne également avec Cassini, consultez ce lien , qui montre la meilleure façon de désactiver ces en-têtes sans utiliser HttpModules ou URLScan.

Si vous souhaitez simplement supprimer l'en-tête, vous pouvez utiliser une version abrégée de la réponse de lukiffer:

using System.Web;

namespace Site
{
    public sealed class HideServerHeaderModule : IHttpModule
    {
        public void Dispose() { }

        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders +=
            (sender, e) => HttpContext.Current.Response.Headers.Remove("Server");
        }
    }
}

Et puis dans Web.config:

<system.webServer>
  <modules runAllManagedModulesForAllRequests="true">
    <add name="CustomHeaderModule" type="Site.HideServerHeaderModule" />
  </modules>
</system.webServer>

Essayez de définir l' HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\DisableServerHeaderentrée de registre sur un REG_DWORDsur 1.

UrlScan peut également supprimer l'en-tête du serveur en utilisant AlternateServerName=under [options].

Suite à la réponse d'eddiegroves , en fonction de la version d'URLScan, vous pouvez plutôt préférer RemoveServerHeader=1sous [options].

Je ne sais pas dans quelle version d'URLScan cette option a été ajoutée, mais elle était disponible dans la version 2.5 et ultérieure.

J'ai trouvé un article qui explique pourquoi nous devons à la fois modifier le registre et utiliser un outil tel que UrlScan pour le configurer correctement dans IIS. Je l'ai suivi sur nos serveurs et cela fonctionne: http://blogs.msdn.com/b/varunm/archive/2013/04/23/remove-unwanted-http-response-headers.aspx . Si vous utilisez uniquement UrlScan mais que vous n'effectuez pas la modification du registre, pendant que vous arrêtez World Wide Publishing Service, votre serveur renvoie la réponse http du serveur à partir du fichier HTTP.sys. En outre, voici les pièges courants de l'utilisation de l'outil UrlScan: http://msdn.microsoft.com/en-us/library/ff648552.aspx#ht_urlscan_008

Dans IIS 10, nous utilisons une solution similaire à l'approche de Drew, à savoir:

using System;
using System.Web;

namespace Common.Web.Modules.Http
{
    /// <summary>
    /// Sets custom headers in all requests (e.g. "Server" header) or simply remove some.
    /// </summary>
    public class CustomHeaderModule : IHttpModule
    {
        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders += OnPreSendRequestHeaders;
        }

        public void Dispose() { }

        /// <summary>
        /// Event handler that implements the desired behavior for the PreSendRequestHeaders event,
        /// that occurs just before ASP.NET sends HTTP headers to the client.
        /// 
        /// </summary>
        /// <param name="sender"></param>
        /// <param name="e"></param>
        void OnPreSendRequestHeaders(object sender, EventArgs e)
        {
            //HttpContext.Current.Response.Headers.Remove("Server");
            HttpContext.Current.Response.Headers.Set("Server", "MyServer");
        }
    }
}

Et évidemment, ajoutez une référence à cette dll dans votre (vos) projet (s) ainsi que le module dans la ou les config (s) que vous voulez:

<system.webServer>
    <modules>
      <!--Use http module to remove/customize IIS "Server" header-->
      <add name="CustomHeaderModule" type="Common.Web.Modules.Http.CustomHeaderModule" />
    </modules>
</system.webServer>

REMARQUE IMPORTANTE 1: Cette solution nécessite un pool d'applications défini comme intégré;

REMARQUE IMPORTANTE2: Toutes les réponses de l'application Web seront affectées par cela (css et js inclus);

J'avais recherché ceci et la méthode URLRewrite fonctionne bien. Je n'arrive pas à trouver le changement scripté n'importe où. J'ai écrit ceci compatible avec PowerShell v2 et supérieur et l'ai testé sur IIS 7.5.

# Add Allowed Server Variable
    Add-WebConfiguration /system.webServer/rewrite/allowedServerVariables -atIndex 0 -value @{name="RESPONSE_SERVER"}
# Rule Name
    $ruleName = "Remove Server Response Header"
# Add outbound IIS Rewrite Rule
    Add-WebConfigurationProperty -pspath "iis:\" -filter "system.webServer/rewrite/outboundrules" -name "." -value @{name=$ruleName; stopProcessing='False'}
#Set Properties of newly created outbound rule 
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/match" -name "serverVariable" -value "RESPONSE_SERVER"
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/match" -name "pattern" -value ".*"
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/action" -name "type" -value "Rewrite"

Vous pouvez ajouter le code ci-dessous dans le fichier Global.asax.cs

    protected void Application_PreSendRequestHeaders()
    {
        Response.Headers.Remove("Server");
    }

La solution proposée ci-dessus en combinaison a fonctionné pour moi avec les changements suivants. Ici, je poste mon scénario et ma solution.

Pour moi, je voulais supprimer les en-têtes suivants:

• Serveur
• X-Powered-By
• Version X-AspNet
• Version X-AspNetMvc

J'ai ajouté ces derniers à mon global.asax:

<%@ Application Language="C#" %>
<script runat="server">
    protected void Application_PreSendRequestHeaders()
    {
        Response.Headers.Remove("Server");
        Response.Headers.Remove("X-Powered-By");
        Response.Headers.Remove("X-AspNet-Version");
        Response.Headers.Remove("X-AspNetMvc-Version");
    }
</script>

L'événement ci-dessus ne se déclenchait pas, donc pour cela, j'ai ajouté le suivi à web.config, puis cela a fonctionné.

<modules runAllManagedModulesForAllRequests="true" />

et pour supprimer l'en-tête de version, j'ai également ajouté ce qui suit à web.config:

<httpRuntime enableVersionHeader="false" />

Changements dans web.config:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <modules runAllManagedModulesForAllRequests="true" />
    </system.webServer>
    <system.web>
        <httpRuntime enableVersionHeader="false" />
    </system.web>
</configuration>

J'espère que ça aide!

J'ai essayé toutes les choses ici et sur plusieurs autres threads de débordement de pile similaires.

J'ai raccroché un peu parce que j'ai oublié de vider le cache de mon navigateur après avoir apporté des modifications de configuration. Si vous ne le faites pas et que le fichier est dans votre cache local, il vous le servira avec les en-têtes d'origine (duh).

Je l'ai fait fonctionner principalement en supprimant les runAllManagedModulesForAllRequests:

<modules runAllManagedModulesForAllRequests="true">

Cela a supprimé les en-têtes superflus de la plupart des fichiers statiques, mais j'obtenais toujours l'en-tête "Server" sur certains fichiers statiques de mon projet WebAPI dans swagger.

J'ai finalement trouvé et appliqué cette solution et maintenant tous les en-têtes indésirables ont disparu:

https://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85

qui traite de son code qui se trouve ici:

https://github.com/Dionach/StripHeaders/releases/tag/v1.0.5

Ceci est un module de code natif. Il est capable de supprimer l'en-tête du serveur, pas seulement de supprimer la valeur. Par défaut, il supprime:

• Serveur
• X-Powered-By
• Version X-Aspnet
• Serveur: Microsoft-HTTPAPI / 2.0 - qui serait renvoyé si "la demande ne parvient pas à être transmise à IIS"

IIS 7.5 et éventuellement les versions plus récentes ont le texte d'en-tête stocké dans iiscore.dll

À l'aide d'un éditeur hexadécimal, recherchez la chaîne et le mot «Serveur» 53 65 72 76 65 72après et remplacez-les par des octets nuls. Dans IIS 7.5, cela ressemble à ceci:

4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 2F 37 2E 35 00 00 00 53 65 72 76 65 72 

Contrairement à d'autres méthodes, cela n'entraîne pas de pénalité de performances. L'en-tête est également supprimé de toutes les demandes, même des erreurs internes.